事件背景
8月29日,江民反病毒監(jiān)測中心監(jiān)測到一起惡意勒索攻擊 ,疑似利用國內(nèi)頭部ERP廠商軟件系統(tǒng)進(jìn)行傳播,預(yù)估國內(nèi)來自該勒索病毒的攻擊案例已超2000余例,且該數(shù)量仍在不斷上漲,該攻擊存在于未做必要安全防護(hù)或使用Windows2016+IIS10.0以下版本的服務(wù)器,被病毒攻擊之后,文件被鎖無法打開。經(jīng)江民反病毒實(shí)驗(yàn)室追蹤并分析樣本,確認(rèn)為利用0day漏洞上傳惡意文件造成投毒,病毒利用webshell反射式加載執(zhí)行加密的惡意代碼。
漏洞概述
目前,官方目前還沒有發(fā)布針對于該漏洞的補(bǔ)丁。
樣本分析
惡意loader文件通過漏洞上傳至服務(wù)器,用戶更新之后會自動運(yùn)行該惡意模塊,導(dǎo)致勒索發(fā)生。loader使用Webshell反射加載執(zhí)行加密的惡意代碼,勒索文件直接將在內(nèi)存當(dāng)中運(yùn)行,加密文件之后,向用戶勒索0.2個比特幣(相當(dāng)于27439元人民幣)的“贖金”。
江民安全研究人員溯源追蹤, 在用戶機(jī)器生成勒索信,發(fā)現(xiàn)此勒索與Tellyouthepass家族存在相似之處,應(yīng)具有一定關(guān)聯(lián)。
江民殺毒軟件各版本均可查殺該loader病毒文件。
解決方案
1). 對重要數(shù)據(jù)的文件進(jìn)行磁盤備份。
2). 對系統(tǒng)或者軟件進(jìn)行及時更新打補(bǔ)丁。
3). 定時對機(jī)器進(jìn)行全盤查殺。
4). 安裝江民殺毒客戶端進(jìn)行實(shí)時防護(hù)。
江民安全專家建議:對于已經(jīng)中毒的用戶,首先必須切斷被加密機(jī)器的網(wǎng)絡(luò),保存現(xiàn)場環(huán)境,避免重啟、重裝、格式化等操作。通過windows日志和事件來進(jìn)行溯源排查,對其他關(guān)鍵服務(wù)器進(jìn)行加急備份,排查是否存在被攻擊現(xiàn)象。關(guān)注權(quán)威新聞,等待官方補(bǔ)丁通知并及時更新。