• WAP手机版 RSS订阅 加入收藏  设为首页
科技

蓝盟IT外包:合法软件沦为勒索病毒工具!

时间:2020/7/24 9:40:17  作者:小飞侠  来源:第一资讯网  查看:24  评论:0

近日,蓝盟IT外包安全合作伙伴深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索病毒工具。黑客通过RDP暴破等方式远程登录服务器,人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是合法软件而非病毒文件,通过文件查杀的方式往往无法防御。

大致还原攻击流程:

1. 黑客通过RDP暴力破解等方式远程登录了目标主机;

2. 上传合法加密软件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及脚本文件copys.bat;

3. 人工运行BestCrypt Volume Encryption对磁盘进行加密卸载,然后运行copys.bat复制勒索信息文件到指定目录并关机。

整个攻击过程不存在任何病毒文件,无法通过文件查杀的方式进行防御。

类似攻击行为通常具有以下特点:

1.攻击者通过RDP暴力破解,远程登录主机,登录时段常为凌晨或节假日等不易被运维人员发现的业务空闲期;

2.对内网进行渗透,使用黑客工具对防病毒软件进行安全对抗,即使内网部署了企业版防病毒软件,也不能确保避免攻击者的入侵;

3.投放勒索病毒进行文件加密,极大概率会被防病毒软件做免杀处理,或者同上文中一样使用合法工具进行磁盘加密,达到安全软件绕过的效果。

由于成功入侵后攻击者具有随意操作的最高权限,因此远程桌面登录成为安全体系中最薄弱的一环,必须重点保护。

蓝盟IT外包再次提醒广大用户,勒索病毒以防范为主,目前大部分勒索病毒加密后的文件都无法解密,一定要注意日常防范措施:

1、及时更新电脑补丁,修复漏洞。

2、重要的数据文件定期进行异地备份。

3、千万不要点击来源不明的邮件附件,及从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、不提供共享服务的电脑关闭445端口。

6、更改账户密码,设置强壮密码(包含大小写字母,特殊符号,数字,长度10位以上),避免使用统一密码,统一密码会导致一台被攻破,多台遭殃。

蓝盟于2002年成立于上海,致力于为企业客户提供IT外包、网络安全、IT采购、弱电工程、系统集成、微软云(Azure、Office365)、阿里云、钉钉等“一站式”信息服务解决方案。咨询热线:4008359089


标签:合法 软件 沦为 勒索 病毒 
特别声明 本网站所刊载信息,不代表“第一资讯网”网站观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
  
“第一资讯网”版权所有