近日,蓝盟IT外包安全合作伙伴深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索病毒工具。黑客通过RDP暴破等方式远程登录服务器,人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是合法软件而非病毒文件,通过文件查杀的方式往往无法防御。
大致还原攻击流程:
1. 黑客通过RDP暴力破解等方式远程登录了目标主机;
2. 上传合法加密软件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及脚本文件copys.bat;
3. 人工运行BestCrypt Volume Encryption对磁盘进行加密卸载,然后运行copys.bat复制勒索信息文件到指定目录并关机。
整个攻击过程不存在任何病毒文件,无法通过文件查杀的方式进行防御。
类似攻击行为通常具有以下特点:
1.攻击者通过RDP暴力破解,远程登录主机,登录时段常为凌晨或节假日等不易被运维人员发现的业务空闲期;
2.对内网进行渗透,使用黑客工具对防病毒软件进行安全对抗,即使内网部署了企业版防病毒软件,也不能确保避免攻击者的入侵;
3.投放勒索病毒进行文件加密,极大概率会被防病毒软件做免杀处理,或者同上文中一样使用合法工具进行磁盘加密,达到安全软件绕过的效果。
由于成功入侵后攻击者具有随意操作的最高权限,因此远程桌面登录成为安全体系中最薄弱的一环,必须重点保护。
蓝盟IT外包再次提醒广大用户,勒索病毒以防范为主,目前大部分勒索病毒加密后的文件都无法解密,一定要注意日常防范措施:
1、及时更新电脑补丁,修复漏洞。
2、重要的数据文件定期进行异地备份。
3、千万不要点击来源不明的邮件附件,及从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、不提供共享服务的电脑关闭445端口。
6、更改账户密码,设置强壮密码(包含大小写字母,特殊符号,数字,长度10位以上),避免使用统一密码,统一密码会导致一台被攻破,多台遭殃。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
