2
2月1日雷鋒網消息,騰訊御見威脅情報中心監測發現,從2018年10月份開始惡意JS電子郵件附件數量持續增長。經分析發現,攻擊者通過發送釣魚郵件,誘導受害者打開并運行附件中的惡意JS腳本,進而下載Shade(幽靈)勒索病毒。
該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點,之后再通過這些被入侵的站點繼續傳播Shade(幽靈)勒索病毒。截止目前,已有超過2000個CMS站點遭到入侵。
注:cms站點是被業內廣泛使用的內容管理系統,企業或個人可通過CMS系統創建自己的博客、知識庫、社區、論壇等內容網站。
Shade(幽靈)勒索病毒首次出現于2014年末,針對Windows操作系統,它主要通過Axpergle和Nuclear漏洞攻擊包、釣魚郵件等進行分發。歷史版本加密文件后綴有“.da_vinci_code”、“.magic_software_syndicate”、“.no_more_ransom”、“.dexter”。而本次發現的病毒版本為v4.0.0.1,加密文件后會添加“. crypted000007”后綴。
該版本的Shade(幽靈)勒索病毒具有如下特點:
1、加密jpg,jpeg,png,xls,xlsx,doc,docx,ppt,txt,mp3,mp4,mov等上百種常用類型的數據文件,不影響系統的正常運行;
2、檢查文件是否已經被加密,避免重復加密;
3、刪除卷影信息,刪除備份相關文件;
4、設置受害者的電腦桌面背景,英俄雙語提示受害者文件已經被勒索;
5、在受害者的電腦桌面上,創建了10個內容相同的文件README1.txt,... README10.txt,文件中分別用英俄雙語引導受害者通過郵件或者Tor網絡與攻擊者聯系解密;
6、所有C2服務器都位于Tor網絡上;
7、該版本的Shade(幽靈)勒索病毒樣本,絕大多數被存放在被攻陷的wordpress站點上,并偽裝成jpg和pdf文件;
8、下載CMSBrute(CMS暴力破解者)模塊入侵安全系數相對較低的wordpress等CMS站點,攻陷的站點將作為Shade(幽靈)勒索病毒的樣本分發服務器。
Shade(幽靈)勒索病毒的攻擊流程大致如下圖所示:
安全專家建議企業用戶,
1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。
2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理。
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。
5、對重要文件和數據(數據庫等數據)進行定期非本地備份。
6、教育終端用戶謹慎下載陌生郵件附件,不要隨意點擊運行或打開附件中未知的文件。
7、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務。
對于個人用戶來說,勿隨意打開陌生郵件,或運行郵件附件中的未知文件,同時關閉Office執行宏代碼,最重要的是及時備份數據文檔。
來源:騰訊御見威脅情報中心
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
