【重要安全通知】新型 “無檔案管理員” 勒索軟體Sorebrect進化惡意探索通知
出版物日期 08/02/2017
根據情報監測內容顯示,近期,新的勒索病毒Sorebrect正在爆發,該勒索病毒通過RDP暴力破解get賬號複雜密碼資訊後進入系統後會將惡意代碼注入合法逬程svchost.exe中,然後終結病毒檔案管理員以躲避殺毒軟體的檢測。Sorebrect 使用微軟的Sysinternals PsExec指令加密內部部署檔案管理員,同時利用自帶的掃描功能掃探索和加密網際網路共用檔案管理員。Sorebrect勒索病毒是第一個採用終結病毒檔案管理員方式逃避檢測的勒索病毒,存在較高的安全風險。
由于勒索病毒不僅僅針對個人,也會惡意探索組織及企業,阿里云云盾小組建議項目雲上商務的系統管理員和安全工程師可以採取下列方法進行防範:
1. 禁止3389連接埠對外開放,建議使用VPN和bastionhost的方式進行安全運維管理;
2. 加固Windows作業系統(https://help.aliyun.com/knowledge_detail/49781.html)賬號複雜密碼,開啟記入帳目稽核員功能,提高系統安全性;
3. 關機網際網路共用資料夾,針對高安全要求的資料夾佈建使用者的讀寫權限;
4. 定期更新作業系統軟體補丁;
5. 對所有重要的檔案管理員和文件加註進行定期備份,將資料備份到不經常泊接機器的外部存放裝置;
6. 安裝防毒軟體,不要隨意點選不明連結;
7. 開通雲盾Situation Awareness Service和安騎士自動檢測和防禦。
更多主題詳情請點選(https://bbs.aliyun.com/read/323210.html)
如有任何問題,可隨時通過工單連線意見反應。
阿里雲安全小組
由于勒索病毒不僅僅針對個人,也會惡意探索組織及企業,阿里云云盾小組建議項目雲上商務的系統管理員和安全工程師可以採取下列方法進行防範:
1. 禁止3389連接埠對外開放,建議使用VPN和bastionhost的方式進行安全運維管理;
2. 加固Windows作業系統(https://help.aliyun.com/knowledge_detail/49781.html)賬號複雜密碼,開啟記入帳目稽核員功能,提高系統安全性;
3. 關機網際網路共用資料夾,針對高安全要求的資料夾佈建使用者的讀寫權限;
4. 定期更新作業系統軟體補丁;
5. 對所有重要的檔案管理員和文件加註進行定期備份,將資料備份到不經常泊接機器的外部存放裝置;
6. 安裝防毒軟體,不要隨意點選不明連結;
7. 開通雲盾Situation Awareness Service和安騎士自動檢測和防禦。
更多主題詳情請點選(https://bbs.aliyun.com/read/323210.html)
如有任何問題,可隨時通過工單連線意見反應。
阿里雲安全小組