Geerban 勒索病毒正在爆破传播,还用了数十款密码抓取工具

admin 2021年12月3日13:58:57cnnvd_news评论12 次浏览阅读模式

       近日,安全研究员接受到求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,安全专家提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。

       该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时,该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件,整个勒索加密模块更像是为了此次攻击,紧急编写制作而成。

       病毒使用RSA+salsa20的方式对文件进行加密,RSA公钥硬编码Base64编码后存放,全局生成的salsa20密钥将被该公钥加密后作为用户ID使用,对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾,被加密文件暂时无法解密。

       受害者联系攻击者可知,其索要0.37比特币的解密赎金,市值约1.7万人民币。

       安全专家建议企业:

       1. 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

       2. 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

       3. 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

       4. 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

       5. 对重要文件和数据(数据库等数据)进行定期非本地备份。

       6. 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

       7. 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署具备专业安全防护能力的云服务。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:58:57
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/868.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: