概 况
近日,美创安全实验室发现了一种全新的勒索病毒,根据它给被加密文件额外附加的文件后缀名,它被命名为“NEMTY”。这是该类型的勒索软件的第一个版本,目前,尚不清楚NEMTY具体是通过何种渠道传播的,但从一个可靠的消息来源获悉,攻击者是通过受损的远程桌面连接(RDP)来传播该病毒的。
病毒情况
美创安全实验室第一时间拿到相关病毒样本,经 virustotal 检测,确认为 NEMTY勒索病毒。NEMTY在执行加密时,使用RSA+salsa20算法加密电脑上的重要文件。加密后,影响用户关键业务运行,且暂时无法解密。
经过分析发现,此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点,但此勒索病毒代码结构与此前两款勒索病毒都不相同。至于该勒索病毒后期会不会流行爆发,需要持续跟踪观察,请各企业做好相应的防范措施,勒索病毒的重点在于防御。
详细信息
NEMTY勒索病毒和大多数勒索病毒一样,会删除其处理的文件的卷影副本,从而使受害者无法通过windows创建的备份来恢复数据。
如果不幸中招,则存储在计算机上的所有文件都被加密。受害者将能够看到如下图所示的一张赎金票据,提示受害者如何缴纳赎金获取解密工具。
该勒索病毒要求了0.09981 BTC的赎金,按照目前的行情,大约价值1000美元。为了保持匿名性,支付网站被托管在Tor网络上,攻击者还“贴心”地在赎金票据中给出了Tor浏览器客户端的下载地址。除此之外,攻击者还提供了另一个带有聊天功能的网页的链接,以便指导受害者如何进行付款操作。
防护措施
美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:
(1)及时给电脑打补丁,修复漏洞。
(2)对重要的数据文件定期进行非本地备份。
(3)不要点击来源不明的邮件附件,不从不明网站下载软件。
(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。
(5)尽量关闭不必要的文件共享。
(6)尽量关闭不必要的端口。
以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加了nemty后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。
