蓝盟IT外包：合法软件沦为勒索病毒工具！-IT外包官网-蓝盟集团

蓝盟IT外包：合法软件沦为勒索病毒工具！

发布者：tangkuikui 发布时间：2020/7/24 点击数：3397

近日，蓝盟IT外包安全合作伙伴深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索病毒工具。黑客通过RDP暴破等方式远程登录服务器，人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是合法软件而非病毒文件，通过文件查杀的方式往往无法防御。

大致还原攻击流程：

1. 黑客通过RDP暴力破解等方式远程登录了目标主机；

2. 上传合法加密软件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及脚本文件copys.bat；

3. 人工运行BestCrypt Volume Encryption对磁盘进行加密卸载，然后运行copys.bat复制勒索信息文件到指定目录并关机。

整个攻击过程不存在任何病毒文件，无法通过文件查杀的方式进行防御。

类似攻击行为通常具有以下特点：
1.攻击者通过RDP暴力破解，远程登录主机，登录时段常为凌晨或节假日等不易被运维人员发现的业务空闲期；
2.对内网进行渗透，使用黑客工具对防病毒软件进行安全对抗，即使内网部署了企业版防病毒软件，也不能确保避免攻击者的入侵；
3.投放勒索病毒进行文件加密，极大概率会被防病毒软件做免杀处理，或者同上文中一样使用合法工具进行磁盘加密，达到安全软件绕过的效果。
由于成功入侵后攻击者具有随意操作的最高权限，因此远程桌面登录成为安全体系中最薄弱的一环，必须重点保护。
蓝盟IT外包再次提醒广大用户，勒索病毒以防范为主，目前大部分勒索病毒加密后的文件都无法解密，一定要注意日常防范措施：
1、及时更新电脑补丁，修复漏洞。
2、重要的数据文件定期进行异地备份。
3、千万不要点击来源不明的邮件附件，及从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、不提供共享服务的电脑关闭445端口。

6、更改账户密码，设置强壮密码（包含大小写字母，特殊符号，数字，长度10位以上），避免使用统一密码，统一密码会导致一台被攻破，多台遭殃。

文/上海蓝盟 IT外包专家

运维服务

集中IT采购

专项服务

咨询服务

解决方案

走进蓝盟

版本

IT外包|聚焦上海，服务一座城