近期,騰訊安全御見威脅情報中心接到某公司網管發來的求助,稱自己公司內伺服器檔案被全盤加密,被加密檔案全部修改為.geer字尾,同時不法黑客還留下了名為READ_ME.txt的勒索信,要求使用者聯絡指定郵箱購買解密工具,索要0.37比特幣的解密贖金。
(圖:Geerban勒索郵件文件)
騰訊安全進而監測發現,Geerban勒索病毒在國內傳播升級,該病毒主要通過RDP弱口令爆破傳播入侵政企機構,加密重要資料清除系統日誌,由於該病毒的加密破壞暫無法解密,被攻擊後將導致相關單位遭受嚴重損失。目前,騰訊電腦管家、騰訊安全終端安全管理系統均可攔截並查殺該病毒,同時提醒廣大企業使用者年底提高警惕,強化內網安全以防中招。
(圖:騰訊電腦管家攔截並查殺該病毒)
值得一提的是,騰訊安全技術專家經過深入溯源分析後,發現該勒索病毒編寫極為簡潔,僅使用22個函式來完成加密過程,更像是為了此次攻擊,緊急編寫製作而成。同時,攻擊者得手後還會將檔案全盤加密,勒索不義之財。
與以往勒索病毒相比,此次檢測發現的Geerban勒索病毒可謂十分“多變”, 利用十餘種攻擊方式組成“廣撒網”的攻擊策略。攻擊者在成功攻破一條伺服器後並不滿足於此,還會向目標電腦釋放大量程式對抗工具、內網掃描工具、本地密碼抓取工具等,企圖攻擊內網中其它機器。一旦入侵成功,即可獲得對目標電腦的完全控制權,並綁架區域網內的其他中招電腦,危害極大。
本次安全事件中針對RDP的弱口令爆破是不法分子的常用伎倆。根據騰訊安全《2019上半年勒索病毒報告》顯示,弱口令爆破是目前最為流行的勒索攻擊手段,佔比高達34%。由於一些管理員的安全意識薄弱,設定密碼簡單容易猜解,不法黑客們常常會利用sa弱口令,通過密碼字典進行猜解爆破登入。另外騰訊安全《2019上半年企業安全報告》也指出,RDP協議爆破是不法黑客針對外網目標爆破攻擊的首選手段。
臨近年底不少勒索病毒開始趁亂作惡,為更好地遏制新型變種Geerban勒索病毒帶來的擴散態勢,騰訊安全反病毒實驗室負責人馬勁鬆建議廣大企業網路管理員,關閉不必要的伺服器埠,使用高強度密碼,防止不法黑客暴力破解;儘量關閉不必要的檔案共享和埠,對重要檔案和資料進行定期非本地備份;對沒有互聯需求的伺服器/工作站內部訪問設定相應控制。在終端和伺服器部署專業防護軟體,Web伺服器考慮部署在騰訊雲等具備專業安全防護能力的雲服務。同時,建議企業使用者選擇使用騰訊安全高階威脅檢測系統防禦病毒攻擊,檢測未知黑客的各種可疑攻擊行為,全方位保障企業自身的網路安全。
(圖:騰訊安全終端安全管理系統)
對於普通使用者來說,馬勁鬆建議,謹慎點選來源不明的郵件附件,關閉Office的巨集功能,同時保持安全軟體處於開啟並執行狀態,及時修復系統漏洞,實時攔截病毒風險。除此之外,他建議個人使用者在上網過程中,應注意養成隨時備份重要檔案的好習慣,推薦使用騰訊電腦管家“文件守護者”工具對重要檔案和資料進行定期備份,全面保護文件安全。