行业动态
您当前位置:首页 > 新闻动态 > 行业动态

勒索软件"Locky"及"Mamba"变种来袭,盈高科技提醒您做好预防措施

责任编辑:盈高科技    时间:2017-09-21    浏览次数:7766

过去几个月,一连串勒索软件攻击(包括WannaCryNotPetyaLeakerLocke)肆虐全球,致使医院、汽车制造商、电信公司、银行和众多企业网络崩溃,业务和生产遭到严重破坏,而网络犯罪分子却从中牟利数千万。


事实上,在WannaCryNotPetya爆发之前,臭名昭著的全盘加密勒索软件MambaLocky去年也在全球掀起波澜。而根据最新消息,这两大软件带着更具破坏性的新变种又回来了!

 

Diablo6: Locky勒索软件新变种

Locky 2016年最具恶名的勒索软件了,如今也是感染范围最大的勒索软件之一。


Locky通常会诱骗受害者点击恶意附件,随后加密受害者电脑和网络中的所有格式的文件,受害者成功支付赎金才会解密文件。这款勒索软件曾多次携变种卷土重来,通过NecursDridex僵尸网络散播。

这次,安全研究人员发现Locky新变种“Diablo6”针对全球的计算机发起攻击,美国及奥地利已经成为其主要目标。


攻击过程

安全研究人员首次发现这个新变种在被感染计算机上加密文件,并附加了.diablo6文件扩展名。


Diablo6作为Word附件包含在电子邮件中,附件被打开时会执行VBS下载器脚本,之后该脚本设法从远程文件服务器下载Diablo6 Payload。随后,Diablo6显示信息指引受害者下载并安装Tor浏览器之前,会使用RSA-2048密钥(AES CBC 256位加密算法)。

Locky Diablo6 索要0.49比特币(约13676元)恢复文件。不幸的是, Diablo6加密的文件无法恢复,因此用户打开电子邮件附件时要小心谨慎。

 

磁盘加密勒索软件Mamba再现江湖

Mamba则是另一款强大而危险的勒索软件,会对硬盘进行全盘加密。大家可能对这种攻击方式还有印象,不久前的NotPetyaWannaCry,就是使用的类似策略。但是Mamba勒索软件动机在破坏公司和大型组织机构,而不是勒索比特币。去年年底,Mamba在感恩节周末感染了旧金山市交通局(MUNI)的系统网络,造成列车误点,并迫使当地关闭售票机和某些车站的检票闸口。

虽然尚不清楚这款勒索软件最初是如何进入机构内部网络的,但研究人员认为,Mamba与大多数勒索软件变种一样,可能使用被感染或恶意网站上的漏洞利用工具或随着电子邮件携带的恶意附件感染目标网络。

从被感染电脑屏幕上显示的信息来看,攻击者仅声称加密了受害者的硬盘,并提供了索要恢复密钥的两个电子邮箱和唯一ID号,这说明勒索信不会立即索要赎金。

 

如何保护保护终端安全免遭勒索软件攻击?

 

仔细分析一下这些勒索软件,我们不难看出,其实这些攻击都是采取了欺骗用户点击陌生邮件+漏洞利用的手段。因此盈高科技提醒大家:

1. 不要轻易点击邮箱中的陌生邮件,尤其是邮件的附件文件;2. 采用盈高科技准入控制产品ASM6000中的全自动补丁功能,封堵系统中的高危漏洞:

1、 补丁批量自动化安装:

自动进行操作系统识别,同时根据系统内的补丁检查索引,自动检索需要下发的补丁进行安装修复;

2、 补丁库可靠性验证;

由于安装补丁有可能会带来终端系统负面影响,微软也多次发生撤回补丁的情况。因此系统中的补丁文件必须是经过测试确认不会给终端带来负面影响的。

3、控制补丁的安装范围;

对于有特殊应用的网络终端来说,贸然安装补丁可能会对业务系统使用造成影响。对于管理员来说需要先进行小范围补丁验证,之后才能进行推广。ASM6000能够控制安装的范围,待管理员确认无误后再进行更大规模的补丁安装。

4、实现漏洞防范的应急处理;

当遇到大规模、高强度的漏洞攻击时(如WannaCry勒索软件的爆发),按照标准程序处理可能会失去最佳保护时机。ASM6000提供了应急处理流程,比如快速封堵终端端口、单独进行防范补丁的快速下发等,为管理员赢得宝贵的后续处理时间。

5、按灵活指定补丁检查规范,进行网络隔离;

ASM6000提供了管理员可自定义的终端补丁安装情况检查,管理员可以根据补丁安装情况进行自动或手动网络隔离,使高危终端进入一个缓冲区,待修复完成或确认无风险后再放行进入网络。