主题活动简述 据海外新闻媒体,丹麦的世界最大的铝制造商之四Norsk Hydro在当月21日遭受新的勒索软件LockerGoga的围攻。公司it互联网系统中断,强迫临时关掉好几家加工厂。丹麦,卡塔尔和墨西哥等國家的加工厂经营模式已改成“能用”手动式实际操作方式,以继续执行一些实际操作。
令人信服的安全性精英团队捕捉了造成重大安全事故的“元凶”—— LockerGoga勒索软件并开展了详尽的技术指标分析。 试品信息内容 1.敲诈勒索信息内容文档:
2.数据加密文件后缀为“.locked”:
深入分析 1.病毒感染文档将改动自身的系统进程管理权限:
2.启用cmd指令将本身拷贝到Temp文件目录。文件夹名称由硬编号字符串“yxugwjud”+四位数自然数构成:
3.随后从-m主要参数刚开始,以开展事件数据加密:
11.转化成勒索软件信息内容文档READMI_LOCKED
4.应用硬编号的公钥加密文件:
6.数据加密后,将文件后缀改动为“.locked”
11.一起,应用“-i Global \ SM-yxugwjud -s”作为主要参数建立自身的进程:
8.除此之外,尽管勒索软件文档硬编号了某些特定的文件后缀,但勒索软件好像并不是限于特定种类的文档,而且系统软件中的全部文档全是数据加密的,这具有毁灭性:
解 针对早已应用勒索软件的客户,提议尽早防护受感柒的服务器,由于沒有破译专用工具。深信,提示客户尽早做好病毒检测和防御力对策,避免病毒感染大家族的勒索软件进攻。 病毒检测和杀毒 1,深信为众多客户出示免費杀毒专用工具,可以免费下载下列专用工具开展检测和杀毒。
32位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z 2.深信EDR商品,下一代防火墙和安全性认知服务平台及其别的网络安全产品都配置了病毒检测作用。布署有关商品的客户可以实行病毒检测,如下图所示:
病毒感染防御力 深信安全性精英团队再度提示众多客户,勒索软件以避免关键,大部分文档在敲诈勒索软件加密后没法破译,留意平时防范措施:
1.立即修复电子计算机以修复漏洞。 2.每季度实行关键数据文件的非当地备份文件。
3.切勿点击来源于不明来源于的电子邮箱附注,也不必从不明网址下载应用。
11.试着关掉多余的文件共享管理权限。
4.变更账号登陆密码,设定强登陆密码,并防止应用一致登陆密码,由于一致登陆密码会造成密码泄露,好几个登陆密码遭到损害。
6.假如服务项目不用RDP,提议关掉RDP。当产生该类恶性事件时,提议应用深度1令人信服的服务器防火墙,或终端设备防护没有响应服务平台(EDR)微防护作用来阻拦3389等端口号以避免外扩散!
11.深信服务器防火墙和终端设备检验与没有响应服务平台(EDR)具备防爆型作用。服务器防火墙开启此作用并开启11080051,11080027,11080016标准和EDR开启防爆型作用来防御力。
8,说动服务器防火墙的顾客,提议升級到AF805版本号,并开启人工智能技术模块Save以提高防御力实际效果。
10应用深度1令人信服的网络安全产品浏览安全性的云人的大脑,并应用云查验服务项目即时检验新的威协。 最终,提议公司对全部互联网开展安全大检查和反病毒扫描仪,以提升维护。提议应用Deep Confidence Security Awareness + Firewall + EDR来检验,停止和维护內部互联网。