展開
湖北國聯計算機科技有限公司
  • 首頁HOME
  • 公司簡介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發SOFTWARE
  • 物聯網IOT
  • 運行維護SRE
  • 成功案例CASE
  • 聯系我們CONTACT
  • DEFENSE |安全防御

    騰訊智慧支招“解密”HRM勒索病毒新變種
    來源:湖北國聯計算機科技有限公司-荊州網站建設-荊州軟件開發-政府網站建設公司 時間:2018-11-26

    近日,騰訊智慧安全御見威脅情報中心收到多起勒索病毒求助,通過觀察受害者機器感染現場,發現均為HRM勒索病毒家族所為。該家族擅長使用釣魚郵件,RDP(遠程桌面管理)爆破等方式進行傳播,使用RSA+AES的加密方式,在沒有拿到病毒作者手中私鑰的情況下,用戶文件將無法解密,由此帶來的損失可想而知。


    (圖:HRM勒索病毒母體偽裝PDF文檔)

    HRM勒索病毒在2017年11月首次出現,因對加密文件完成后在文件名后添加.HRM擴展后綴,并且會收到來自敲詐者的提示信息,因而將其命名為HRM勒索病毒。值得一提的是,該家族能避開dll、lnk、hrmlog、ini、exe等擴展名不做加密,剩余的文件皆會被加密。

    據安全專家介紹,該病毒家族采用的傳播方式隱蔽性極強,病毒母體會偽裝成PDF文檔,加殼壓縮且脫殼后有大量代碼混淆,以此達到隱藏自身的目的。在此次攻擊中,HRM勒索病毒還具備以下幾個顯著特征:首先排除Windows、AhnLab、Chrome、Mozilla、$Recycle.bin等目錄;其次檢查文件是否已經被加密,避免重復加密文件;然后會加密網絡共享目錄下的文件;以及刪除卷影信息,刪除備份相關文件;最后在桌面打開勒索HTML文檔,展示勒索信息。有趣的是,該病毒內還通過查詢注冊表避開俄羅斯、烏克蘭、比利時等國家。

    由于該病毒變種采用RDP(遠程桌面管理)攻擊方式,在攻擊者入侵了一個企業網絡的遠程桌面協議(RDP)端口后,可以利用暴力破解攻擊輕而易舉地滲透進目標網絡,并向特定位置上傳勒索軟件。目前,各類勒索病毒通過入侵RDP來實現勒索軟件攻擊的比例越來越大,因此用戶需要意識到該漏洞的重要性。

    為避免此類攻擊事件再次發生,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業網管,建議修改管理后臺默認頁面路徑,設置白名單限制登錄,修改弱口令密碼,避免服務運行高權限;盡量關閉445、135,139等不必要的端口,對3389,5900端口可進行白名單配置;采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理。


    (圖:騰訊企業級安全產品御點終端安全管理系統)

    同時,馬勁松建議終端以及服務器部署專業安全防護軟件,例如在Web服務器部署騰訊云等具備專業安全防護能力的云服務,全面增強企業網絡抵御攻擊威脅的能力,以及在全網安裝御點終端安全管理系統。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。



    荊州地區政府網站建設 解決方案 專業團隊 Copyright ? 2016 武漢國聯信通科技有限公司松滋分公司 地址:湖北省荊州市沙市區荊沙大道楚天都市佳園一期C區29棟112       地址:湖北省松滋市才知文化廣場1141-1142號     郵編:434200 聯系電話:0716-6666211     網站編輯部郵箱:[email protected] 鄂公網安備 42100202000212號 備案號:鄂ICP備16011027號-1     企業名稱:湖北國聯計算機科技有限公司
    彩金捕鱼转微信红包 重庆时时开奖官方 时时彩购彩app下载 龙王捕鱼破解版 重庆时时官方平台 彩票昨天晚上中奖号码 jdb财神捕鱼赢分经验 时时 广东南粤风彩今晚开奖 3d三维绘图软件手机版 福建时时开奖视频 福建36选7开奖规则 陕西11选五开奖号码是 彩票管家 赛车网投 888现金棋牌游戏 江西时时2000万