freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【危险】可绕过防毒软件的Snatch病毒来了!!!
2019-12-24 17:52:32

概    况

近日,美创安全实验室根据勒索病毒威胁情报,发现了名为Snatch的勒索软件。该勒索软件利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃,并迫使受感染设备重新启动进入安全模式。而在安全模式下,通常会禁用防病毒和其他安全软件,从而允许该恶意程序作为服务进行自启,对PC进行全盘加密,最后向受害者勒索比特币。

640?wx_fmt=png

病毒情况

美创安全实验室第一时间拿到相关病毒样本,经virustotal 检测,确认为 Snatch勒索病毒。

640?wx_fmt=png

Snatch勒索病毒自2018年夏天以来一直很活跃,它包括了一个勒索软件组件和一个单独的数据窃取器。该病毒采用主动自动攻击模式,他们通过对易存在漏洞的服务进行自动暴力攻击来渗透企业网络,并在目标组织的网络内部进行传播。恶意软件在勒索的同时能够一直从目标组织窃取大量信息。

Snatch对于某些文件和文件夹位置列表不会加密,它将目标集中在工作文档或个人文件上。加密后,使得文件无法再打开,并将由五个字母或数字组成的文件扩展名(例如.hceem)附加到每个加密文件中。

640?wx_fmt=png

然后,Snatch会留下勒索信息文档,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。

640?wx_fmt=png

Snatch勒索病毒可以在常见的 Windows 系统上运行,从 Windows 7 到 Windows 10,所有 32 位和 64 位版本都受到影响。我们观察到 Snatch 无法在 Windows 以外的平台上运行。

防护措施

为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

640?wx_fmt=png

无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加.hceem加密后缀,并且无法正常打开。

640?wx_fmt=png

开启诺亚防勒索的情况下:

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

640?wx_fmt=png

640?wx_fmt=png

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

640?wx_fmt=png

开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

640?wx_fmt=png

640?wx_fmt=png

美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。(5)尽量关闭不必要的文件共享。(6)尽量关闭不必要的端口。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者