展开
湖北国联计算机科技有限公司
  • 首页HOME
  • 公司简介INTRODUCTION
  • 安全防御DEFENSE
  • 软件开发SOFTWARE
  • 物联网IOT
  • 运行维护SRE
  • 成功案例CASE
  • 联系我们CONTACT
  • Defense Q&A |网安Q&A

    勒索病毒变种预警通告(Satan四代)
    来源:湖北国联计算机科技有限公司-荆州网站建设-荆州软件开发-政府网站建设公司 时间:2018-06-21

    病毒简介

    近日,勒索病毒Satan家族最新变种正在国内传播,受影响的系统、数据库文件被加密破坏,病毒将加密后的文件重命名为.dbger扩展名,并在加密主机上遗留名称为_How_to_decrypt_files的txt文本来告知受害者解密文件的方式。由于Satan 采用未知非对称算法加密而难以破解,当前尚无解密工具。

    病毒分析

    Satan家族首次出现在2017年1月,发展至当前已出现第4代变种,最新Satan变种除了利用永恒之蓝(MS17-010)漏洞之外,主要通过以下高危风险漏洞方式传播:

     (1)JBoss反序列化漏洞(CVE-2017-12149)

     (2)JBoss默认配置漏洞(CVE-2010-0738)

     (3)Put任意上传文件漏洞

     (4)Tomcatweb管理后台弱口令

     攻击者首先利用web应用程序存在的漏洞上传webshell后门,然后通过后门连接服务器上传Satan病毒变种文件,病毒上传过程中即对服务器文件完成加密:

    前几代Satan病毒主要对服务器的数据库进行攻击加密,近期的变种病毒对txt、xml等文件一律都会进行加密,影响极为严重。由于最新病毒变种最近几天才出现,病毒库未及时更新的防病毒软件都无法及时查杀:

    影响分析

    此次爆发的Satan家族的最新变种,主要以国内公共机构服务器为主要攻击对 象,目前已有政府机构网站因该病毒出现系统瘫痪,对业务连续性造成严重影响。

    建议解决方案

    1、湖北国联防护方案:对于已迁移上云的Windows系统,湖北国联针对135、139、445等端口进行严格的限制,配备了IPS/IDS对全部互联网出口流量实时进行攻击检测和防护,并通过及时升级防毒墙和企业版防病毒软件病毒库,保障网络层和主机层双重查杀,拒绝勒索病毒入网。


    2、其他预防建议:

     (1)修复web应用程序存在的高危安全漏洞;

     (2)及时安装主机和服务器最新补丁,修复漏洞;

     (3)对重要的数据文件定期进行非本地备份;

     (4)主机安装防病毒软件,并注意每天升级最新病毒库,开启实时查杀;

     (5)避免将135-139、445端口以及RDP(3389端口)等向互联网开放。

    3、中毒后处置建议:

     (1)第一时间断开主机网络,防止感染其它计算机文件;

     (2)结束病毒进程并安装杀毒软件查杀病毒,预防二次中毒(查杀病毒不会损坏加密的文件);

     (3)备份加密数据,以防止修复过程中造成加密数据损坏而无法再解密;

     (4)排查服务器的局域网是否有共享文件夹文件被加密,如有必要也需做好备份。




    荆州地区政府网站建设 解决方案 专业团队 Copyright © 2016 武汉国联信通科技有限公司松滋分公司 地址:湖北省荆州市沙市区荆沙大道楚天都市佳园一期C区29栋112       地址:湖北省松滋市才知文化广场1141-1142号     邮编:434200 联系电话:0716-6666211     网站编辑部邮箱:business@gl-ns.com 备案号:鄂ICP备16011027号-1     企业名称:湖北国联计算机科技有限公司