提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      数字医学与健康大会DMHC——美创与您相约古都金陵

      2025-08-12

       2

      美创科技打造县域医疗灾备新标杆|神木市医院 HIS 系统数据库分钟级切换演练实录

      2025-07-02

       3

      百万罚单警示!DCAS助力金融机构筑牢数据安全防线,实现监管合规

      2025-06-20

       4

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       5

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10
      相关文章

      每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

      2025-09-08

      每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

      2025-09-01

      每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

      2025-08-25

      每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

      2025-08-25

      CNVD漏洞周报2025年第29期

      2025-08-11
      【高危预警】REvil勒索软件有多猖狂???
      发布时间:2021-03-20 阅读次数: 201 次

      近日,计算机巨头宏碁(acer)遭到了REvil(又名“Sodinokibi”)勒索软件攻击。攻击者设法渗透了其IT网络,窃取了重要数据后,对服务器文件进行加密,并索要5000万美元(约3.25亿人民币)。昨日,攻击者在其暗网门户网站上分享了涉嫌盗取文件的几个图片以证明攻击。从这些泄露的图片可以看出,这些文件包括财务电子表格、银行结余和银行往来邮件。


      病毒情况


      REvil勒索病毒首次出现于2019年4月底。在REvil勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从2019年7月份开始,该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,可谓一台失陷,全网遭殃。


      美创安全实验室第一时间拿到相关病毒样本,经分析发现,REvil勒索病毒采用 RSA+salsa20 算法加密文件。加密后,使得文件无法再打开,并将由字母或数字组成的文件扩展名附加到每个加密文件中,以下为被加密文件:


      并在桌面上留下勒索信息文件15beheu-readme.txt,提示受害者如何缴纳赎金获取解密工具,文件信息如下:


      该勒索病毒会修改桌面壁纸为深蓝色,并显示文件已被加密字样,如图:


      防护建议


      勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:


      ☞一、及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。


      ☞ 二、健全安全风险防护机制和积极响应机制,提高财政局网络系统健壮性和抗攻击能力。


      ☞ 三、不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。


      ☞ 四、应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。


      ☞ 五、对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


      ☞ 六、尽量关闭不必要的文件共享。


      ☞ 七、提高安全运维人员职业素养,定期进行木马病毒查杀。


      ☞ 八、安装诺亚防勒索软件,防御未知勒索病毒。


      诺亚防勒索针对REvi病毒的防护效果


      为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。


      美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


      ✦ 无诺亚防勒索防护的情况下:


      在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加由随机字母和数字组成的加密后缀,并且无法正常打开。


      ✦ 开启诺亚防勒索的情况下:


      查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


      ✦ 开启堡垒模式的情况下:


      为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


      运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

      上一条:《数据安全能力成熟度模型》实践指南:需求分析
      下一条:每周安全速递¹⁵⁰|西班牙政府劳工部办公室遭Ryuk勒索软件攻击
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部