近期,我中心接到多起来自企业的金蝶云星空、用友服务器感染勒索病毒的应急求助事件,其重要数据遭到了名为“.locked”勒索病毒的加密。在6月中旬,我中心曾发布过关于金蝶云星空用友畅捷通T+服务器的漏洞预警通告,而在此次的应急处置分析过程中,勒索团伙正是利用了金蝶云星空和用友畅捷通T+最新的远程代码执行漏洞作为突破口实施入侵。

   事件详情   

据此次应急事件分析报告显示,.locked勒索病毒在6月13日和6月22日晚间,分别针对用友畅捷通和金蝶云星空服务器开展大规模攻击,通过远程代码执行漏洞获取到系统控制权加密了一批企业的服务器数据,一些企业还存在开放高危端口和弱口令等问题,导致勒索病毒在内网横向蔓延扩散,数十台服务器遭感染,勒索团伙要求受害企业以0.06-0.11个比特币/1台服务器的价格支付赎金换取解密密钥。

用户文件均被加密成后缀名为“.locked”的文件,加密时间为6月22日22时:

勒索信截图,要求支付0.08BTC才能解密:

风险详情 

.locked勒索病毒是一种基于文件勒索病毒代码的加密病毒,隶属于国外知名的TellYouThePass勒索病毒家族。该病毒最早在2022年8月大规模主动攻击中被发现,现已更新迭代衍生出多个变种。其通过恶意链接、垃圾邮件、被感染的下载文件和漏洞利用等途径传播,感染后会在计算机中创建一个解密密钥,并使用该密钥对文件进行加密,被加密的文件后缀会附加“ .locked ”扩展名,然后留下勒索信息,要求用户以加密货币的形式支付赎金。危害

一旦计算机受到感染,将无法访问被加密的文件,企业除了面临生产、业务停摆等损失同时还伴随着商业资料、生产数据外泄的风险。

传播途径

针对性攻击:针对性地向特定目标发送钓鱼邮件或利用社交工程手段,诱使用户点击恶意链接或下载附件。用户一旦执行操作,病毒便会开始感染计算机和服务器。

漏洞利用:病毒利用操作系统或软件的安全漏洞,通过网络进行自我传播。这种传播方式非常危险,因攻击者可以通过远程执行代码来感染大量计算机。

恶意下载:用户在不安全的网站上下载了受感染的文件,这些文件实际上是伪装成正常软件或资源的恶意程序。

    防范措施   

企业单位请谨记以下关键措施进行防范,有效抵御.locked勒索病毒和其他勒索软件的攻击威胁:

1.安全更新:保持操作系统和安全软件的更新,以获取最新的安全补丁和漏洞修复;

2.强口令和多重验证:确保使用复杂且独特的密码,并为关键账户启用多因素身份验证,增加破解难度;

3.谨慎附件和链接:避免打开来自不明来源或可疑的电子邮件附件和链接,以免下载恶意软件;

4.定期备份文件:定期备份重要文件,并将其存储在离线或云端的安全位置。这将帮助恢复数据,即使受到勒索软件的攻击也能减少损失;

5.防护软件:安装和使用可靠的防病毒软件和防火墙,及时进行病毒扫描和检测,并阻止恶意软件的入侵;

6.过滤垃圾邮件:配置电子邮件过滤器来识别和过滤垃圾邮件,降低遭到钓鱼和恶意链接的风险;

7.员工培训:为员工提供有关勒索软件和网络安全的培训,教导他们如何识别和应对潜在的威胁;

8.网络隔离和权限管理:将网络分段并实施适当的权限。

最后在此提醒:支付赎金并不能保证解密文件的成功,而且还会鼓励犯罪分子继续进行勒索行为。如遭遇勒索病毒攻击请及时与我中心联系,进行应急处置。

END

Category
Tags

No responses yet

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注