1月29日瑞星拦截一款病毒样本 作者"GoRansom".
病毒采用Go语言开发,使用非对称算法加密文件,病毒运行后会加密指定文件,包括文档、图片、视频等格式文件,被加密文件会追加.encryted后缀,然后在桌面释放勒索提示,用户支付赎金解锁文件。
http://www.gxnews.com.cn/staticpages/20190129/newgx5c50572d-18003435.shtml(软文倾向)
另一份资料:
包含有病毒的详细分析
http://news.tom.com/201901/4544537683.html
MongoLock病毒直接删除文件,然后将文件备份。将重要档案,通过洋葱网络备份,到云端服务器。(因为跳板太多,不容易追踪来源。这里对洋葱网络备份抱疑问态度)
https://tw.news.yahoo.com/驚-新-波勒索病毒又來-直接刪除用戶檔案-065300079.html(软文倾向)
360安全卫士发布了fdfy卷土重来的消息,加密难度增大,影响百余台Windows服务器。更新后的fdfy勒索病毒只包含中文,如果用户想解密,必须支付一个比特币,72小时未支付,赎金翻倍。
最新的satan病毒使用了新的文件加密后缀evopro
http://industry.caijing.com.cn/20190131/4560159.shtml
https://guanjia.qq.com/news/n1/2441.html
1.自诊断: *对文件加密(流行)
*
对分区进行加密
*
禁止用户正常登陆操作系统
https://guanjia.qq.com/pr/ls/#navi_0
3.应急手段 3.1 物理、网络隔离。对已经中毒的机器做下线处理
3.2 工作环境风险排除 *检查登录密码是否为弱口令
*
检查是否开放高风险服务端口 212223258013513944344533063389
*
检查机器防火墙是否开启
*
检查机器ipc空连接无奈的时光默认共享是否开启。 windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现CKaTeX parse error: Expected 'EOF', got 'D' at position 1: ̲D̲E 分 别 代 表 默 认 共 享 出 C 、 D 、 E 盘 文 件 , 且 在 获 取 到 w i n d o w s i p c 分别代表默认共享出C、D、E盘文件,且在获取到windows ipc 分别代表默认共享出C、D、E盘文件,且在获取到windowsipc连接权限后,可随意读写。该类共享用不到的情况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……
*
检查机器是否关闭自动播放功能 方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置—管理模板—系统—“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。
*
检查机器安装软件情况,是否有低版本漏洞软件
*
检查本机office、abobe、web浏览器等软件是否更新到最新版本以及安装最新补丁
*
检查本机系统补丁是否安装到更新
A、定期进行安全培训,日常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。
F、建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
H、建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
I、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
J、关键应用系统定期进行安全测试和加固。