近日,國內安全威脅情報中心監測到新型勒索病毒clop在國內開始傳播,國內某企業被***後造成大面積感染,致該受害企業大量資料被加密而損失嚴重,我們提醒各**企業單位注意防範。與其他勒索病毒不同,也是最可怕的地方是:clop勒索病毒部分情況下攜帶了有效的數字簽名,數字簽名濫用,冒用以往情況下多數發生在流氓軟體,竊密類***程式中。勒索病毒攜帶有效簽名的情況極為少見,這意味著該病毒在部分攔截場景下更容易獲取到安全軟體的信任,進而感染成功,造成無法逆轉的損失。
病毒分析clop勒索病毒首先會結束大量檔案占用類程序,以保證加密檔案過程中避免因檔案占用造成加密失敗,病毒會嘗試以白名單過濾的方式加密本地磁碟和網路共享目錄檔案,加密時通過判斷檔案大小來採取不同的加密方式。對每個檔案生成檔案加密金鑰,加密檔案完成後使用內建的rsa公鑰加密檔案金鑰資訊後追加到檔案末尾,被加密後的檔案暫時無法解密。病毒執行後首先結束大量檔案占用程序,列表如下:
遍歷當前系統磁碟準備從根目錄開始對檔案加密,同時會遍歷區域網內共享目錄,對有許可權寫入的檔案進行加密。白名單字尾:.dll、.dll、.exe、.exe、.sys、.sys、.ocx、.ocx、.lnk、.lnk、.clop檔案:ntldr、ntldr、boot.ini、boot.ini、ntuser.ini、ntuser.ini、autoexec.bat、autoexec.bat、ntdetect.com、ntdetect.com、clopreadme.txt目錄:chrome、mozilla、recycle.bin、microsoft、ahnlab、allusers、programdata、programfiles(x86)、programfiles(x86)、programfiles、programfiles病毒在加密檔案時,會判斷檔案大小,當檔案大於0x2dc6c0位元組(約2.8-2.9mb)時,採用檔案對映方式改寫檔案資料,且加密資料大小固定為0x2dc6c0位元組(約2.8-2.9mb),其餘情況則以採取先讀取檔案實際大小,加密檔案資料,寫入新檔案加密內容,刪除原檔案的方式完成加密過程。對每個檔案生成匯出乙個rsa公鑰(檔案加密演算法非rsa,但用該金鑰)
勒索說明文件 clopreadme.txt 通過查詢資源sixsix解密後建立。解密方式為硬編碼資料模運算後加迴圈異或。
留下名為 clopreadme.txt 的勒索說明文件,恐嚇受害者,要求在兩周內聯絡病毒作者繳納贖金,否則將無法恢復檔案。
安全建議企業使用者:1、盡量關閉不必要的埠,如:445、135,139等,對3389,5900等埠可進行白名單配置,只允許白名單內的ip連線登陸。2、盡量關閉不必要的檔案共享,如有需要,請使用acl和強密碼保護來限制訪問許可權,禁用對共享資料夾的匿名訪問。3、採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼,並且強制要求每個伺服器使用不同密碼管理。4、對沒有互聯需求的伺服器/工作站內部訪問設定相應控制,避免可連外網伺服器被後作為跳板進一步其他伺服器。5、對重要檔案和資料(資料庫等資料)進行定期非本地備份。6、在終端/伺服器部署專業安全防護軟體,web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。
基於智慧型的網路空間安全防禦
在rsa2011中國大會上,趙糧博士發表了乙個題為 intelligence based cyber defense 的演講。趙博士指出 傳統的 圍繞邊界的城堡防禦模式,已經越來越難以適應業務發展的需求,安全運維團隊往往陷入到日常安全運營中,難以成長為真正的 業務安全專家 更難以將安全融入到業務運營...
企業資訊保安防禦 您的內網安全嗎
千里之堤潰於蟻穴,企業內網是網路攻擊的最終目的和核心目標,再強大的邊界防護和保障手段,在日益繁雜龐大的企業內網面前,均不能百分百的保證萬無一失。只要內網存在安全隱患或漏洞,黑客或別有用心的組織團體就可以輕易的繞過邊界直接攻陷內部網路,侵害內網安全,造成企業資產 資訊 商業損失。使用者如何快捷 高效 ...
安全防護 PHP木馬的攻擊的防禦之道
首先修改httpd.conf,如果你只允許你的php指令碼程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。比如你的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾行 php admin value open base...