亚投彩票入口

当前位置:
主页
通知公告

网络与信息安全情况通报 2020 年第 30 期
关于做好新型勒索病毒防范工作的紧急预警通报

来源:安庆市网络与信息安全信息通报中 心 阅读:219 发布时间:2020-12-31

近期,境内外新型勒索病毒频发,省内部分行业部门发生多起遭勒索病毒攻击的网络安全案事件,为切实做好防范工作,确保我市重要信息系统和网站稳定运行,现将相关事项及要求通报如下:
    一、 近期高发的新型勒索病毒基本情况
    传统勒索病毒一般通过垃圾邮件、钓鱼邮件、水坑网站等方式传播,受害者下载运行导致中毒.新型勒索病毒通过漏洞和弱口令扫描互联网中的计算机,直接植入病毒并运行。 近期高发的新型勒索病毒感染事件如下:
    (一) 攻击开启远程桌面服务的 windows 服务器.勒索病毒感染后的主要特征包括 windows 服务器文件被加密,且更改文件名后缀,例如改为 *. Devos。电脑主机或服务器在开机后系统桌面是勒索图片,或出现一张图片提示数据已被加密, 需支付虚拟货币 。
    (二) Elasticsearch 服务器数据库被加密勒索 。 利用Elasticsearch 数据库未授权访问漏洞,通过自动化脚本对Elasticsearch 数据库进行批量攻击,一旦发现服务器存在未授权访问漏洞,自动对该服务器数据库投递勒索病毒,并进行数据加密,其后在该数据库访问页面插入勒索信息。

(三)“WannaRen” 的新型勒索病毒。 与此前的“WannaCry”的行为类似 ,加密 Windows 系统中几乎所有文件,后缀为 . WannaRen, 赎金为0.05个比特币.该病毒存在两个变体, 区别仅为 通过文字或图片发送勒索信息,语言为繁体中文。 感染过程中,360 等杀毒软件未报毒,第一时间手动查杀后电脑依然被感染。

(四)BalaClava 勒索病毒。该勒索病毒家族变种主要有KEY0001、KEY0003、KEY0004、KEY0005,所采用的感染途径为暴力破解远程桌面口令成功后再进行手动植入勒索病毒。 通常勒索病毒在进行密钥加密时采用 RSA加密算法, BalaClava 采用了NTRU 加密算法进行密钥加密的操作。

(五)Ekans/Snake 勒索病毒。 Ekans/Snake 勒索病毒是一种新的勒索软件,通常针对企业进行攻击,该勒索病毒 使用Golang编写,在被加密文件末尾追加EKANS,反过来为 SNAKE。该病毒不支持解密,被攻击者只能缴纳赎金恢复文件。

(六)Avaddon 勒索病毒。该病毒早期版本在加密文件后添加avdn 扩展后缀, 后期版本将加密文件扩展变更为随机字符串。加密文件完成后留下名为“随机-readme. html”的勒索信文档。该病毒以大量的垃圾邮件传播, 同时与Phorpiex 僵尸网络合作,导致感染量上升。
    二、 安全防护建议
    面对新型勒索病毒的挑战,建议采用以下八点安全防护建议保护网络安全:

一是提高人员的安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。

二是采用高强度密码,杜绝弱口令,杜绝使用通用密码管理所有机器。

三是加强安全配置,关闭不必要的文件共享,关闭 3389、445、139、135、9200 等不用的高危端口,建议在网络边界防火墙上全局关闭3389端口。

四是定期备份重要资料、数据库,建议使用单独的文件服务器对备份文件进行隔离存储,切忌同机备份。

五是及时修复系统漏洞,及时更新服务器和数据库漏洞补丁,做好日常安全运维。

六是设置限制IP 地址访问策略。

七是选择技术能力强的杀毒软件;及时更新病毒库。

八是服务器开启关键日志收集功能, 为安全事件的追踪溯源提供基础。

三、 应急处置措施

全市各重要行业部门和各县( 市)公安机关网安部门要及时警示本部门 、 本行业、 本辖区网站和信息系统用户 , 在确保安全的前提下,及时堵塞漏洞,提高安全防范能力。 发现系统遭勒索病毒攻击情况要立即采取以下应急处置措施:

一是立即断网隔离,防止扩大感染;

二是确认勒索病毒感染范围;

三是初步判断感染的勒索病毒类型,拟定现场处置措施;

四是及时向上级主管部门汇报,并及时报告公安机关网安部门 。