zoukankan      html  css  js  c++  java
  • 安全紧急预警-防范新型 Sigrun 勒索病毒

    近日,互联网上出现一种 Sigrun 勒索病毒,其通过垃 圾邮件、网站捆绑软件等方式进行传播。该病毒一旦植入到 用户的服务器,将把系统文件加密为.sigrun 的文件,进而 向受害者勒索虚拟货币。该新型 Sigrun 勒索病毒采用 RSA1024 加密算法,目前无法解密。
    请各部门注意防范,不点击来源不明的邮件以及附件,并对本地文件进行非本地备份。

    病毒介绍
    Sigrun 勒索病毒为一个新型的勒索病毒家族,时间戳为:2018 年 5 月 18 日。经第三方机构分析,该勒索软件首 先对操作系统的输入法进行识别,对俄罗斯输入法的操作系统将不进行加密攻击,如果是其他输入法的操作系统,则进行文件加密并实施勒索。

    影响范围
    开启了445 端口SMB 网络共享协议,开启局域网共享文 件功能,开启 RDP 3389 端口且存在弱口令安全隐患的 Windows 系统(包括个人版和服务器版)。

    排查方案
    1.检查系统是否打上了最近系统漏洞补丁包;
    2.检查系统是否开启了445 端口的 SMB 网络共享协议,或者不必要的共享端口;
    3.检查系统是否存在.sigrun 后缀文件。

    处置方案
    1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;
    2.切断传播途径:关闭SMB 445 等网络共享端口,关闭异常的外联访问;
    3.查找攻击源:手工抓包分析或借助态势感知类产品分析;
    4. 查杀病毒:可使用以下工具进行查杀(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip);
    5.不要点击来源不明的邮件,不从不明网站下载相关的软件;及时对电脑主机进行补丁升级,修复漏洞;对重要的数据文件定期进行非本地备份;安装专业的终端或服务器安全防护软件;
    6.修改密码:主机账号密码重置为高强度的密码。

    应急处置建议
    同时开展以下紧急处置:
    一是立即断开被入侵的主机系统的网络连接,防止进一步危害;
    二是留存相关日志信息;
    三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

  • 相关阅读:
    讲解开源项目:一步步跑起来个 Java 前后端分离的人力资源管理系统
    HelloDjango 第 12 篇:解锁博客侧栏,GoGoGo!
    HelloDjango 第 11 篇:自动生成文章摘要
    Python 命令行之旅:深入 argparse(二)
    MongoDB 复制机制
    GridView自定义分页
    接口分离原则
    依赖倒置原则
    访问 IIS 元数据库失败 的解决方法
    开放封闭原则
  • 原文地址:https://www.cnblogs.com/tewuapple/p/9242389.html
Copyright © 2011-2022 走看看