衝擊年底KPI！勒索病毒Geerban十餘種工具齊上陣 企業需警惕

近期，騰訊安全御見威脅情報中心接到某公司網管發來的求助，稱自己公司內伺服器檔案被全盤加密，被加密檔案全部修改為.geer字尾，同時不法黑客還留下了名為READ_ME.txt的勒索信，要求使用者聯絡指定郵箱購買解密工具，索要0.37比特幣的解密贖金。

（圖：Geerban勒索郵件文件）

騰訊安全進而監測發現，Geerban勒索病毒在國內傳播升級，該病毒主要通過RDP弱口令爆破傳播入侵政企機構，加密重要資料清除系統日誌，由於該病毒的加密破壞暫無法解密，被攻擊後將導致相關單位遭受嚴重損失。目前，騰訊電腦管家、騰訊安全終端安全管理系統均可攔截並查殺該病毒，同時提醒廣大企業使用者年底提高警惕，強化內網安全以防中招。

（圖：騰訊電腦管家攔截並查殺該病毒）

值得一提的是，騰訊安全技術專家經過深入溯源分析後，發現該勒索病毒編寫極為簡潔，僅使用22個函式來完成加密過程，更像是為了此次攻擊，緊急編寫製作而成。同時，攻擊者得手後還會將檔案全盤加密，勒索不義之財。

與以往勒索病毒相比，此次檢測發現的Geerban勒索病毒可謂十分“多變”， 利用十餘種攻擊方式組成“廣撒網”的攻擊策略。攻擊者在成功攻破一條伺服器後並不滿足於此，還會向目標電腦釋放大量程式對抗工具、內網掃描工具、本地密碼抓取工具等，企圖攻擊內網中其它機器。一旦入侵成功，即可獲得對目標電腦的完全控制權，並綁架區域網內的其他中招電腦，危害極大。

本次安全事件中針對RDP的弱口令爆破是不法分子的常用伎倆。根據騰訊安全《2019上半年勒索病毒報告》顯示，弱口令爆破是目前最為流行的勒索攻擊手段，佔比高達34%。由於一些管理員的安全意識薄弱，設定密碼簡單容易猜解，不法黑客們常常會利用sa弱口令，通過密碼字典進行猜解爆破登入。另外騰訊安全《2019上半年企業安全報告》也指出，RDP協議爆破是不法黑客針對外網目標爆破攻擊的首選手段。

臨近年底不少勒索病毒開始趁亂作惡，為更好地遏制新型變種Geerban勒索病毒帶來的擴散態勢，騰訊安全反病毒實驗室負責人馬勁鬆建議廣大企業網路管理員，關閉不必要的伺服器埠，使用高強度密碼，防止不法黑客暴力破解；儘量關閉不必要的檔案共享和埠，對重要檔案和資料進行定期非本地備份；對沒有互聯需求的伺服器/工作站內部訪問設定相應控制。在終端和伺服器部署專業防護軟體，Web伺服器考慮部署在騰訊雲等具備專業安全防護能力的雲服務。同時，建議企業使用者選擇使用騰訊安全高階威脅檢測系統防禦病毒攻擊，檢測未知黑客的各種可疑攻擊行為，全方位保障企業自身的網路安全。

（圖：騰訊安全終端安全管理系統）

對於普通使用者來說，馬勁鬆建議，謹慎點選來源不明的郵件附件，關閉Office的巨集功能，同時保持安全軟體處於開啟並執行狀態，及時修復系統漏洞，實時攔截病毒風險。除此之外，他建議個人使用者在上網過程中，應注意養成隨時備份重要檔案的好習慣，推薦使用騰訊電腦管家“文件守護者”工具對重要檔案和資料進行定期備份，全面保護文件安全。