警惕Satan变种勒索病毒”5ss5c”
2020-03-19 18:49:09 Author: www.aqniu.com(查看原文) 阅读量:348 收藏

警惕Satan变种勒索病毒”5ss5c”

星期四, 三月 19, 2020

虽已到3月,疫情防控仍不可放松警惕,未完全复工的企业多采取远程办公的方式。为提高远程办公的效率,许多企业开启了业务系统的对外服务,这种模式无疑为蛰伏的网络攻击提供了可趁之机。

例如,疫情期间异常活跃的Satan勒索病毒的变种病毒——”5ss5c”

该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍

众所周知,勒索病毒的赎金成本颇高,一旦爆发将致使企业损失惨重。在毫无前兆的高级变种勒索攻击的形势下,能够主动防御未知的高级威胁,且能快速识别并响应的防御体系是市场刚需。如果您已部署天蝎终端侦测与响应系统(EDR),即可轻松拦截此变种勒索病毒——

首先,登录天蝎威胁分析平台,在【威胁分析中心】统览整体网络态势

界面清晰显示了告警的主机数、告警排行、处置统计、自动拦截的威胁事件、流量最大的进程占比、事件类型统计、最新10条威胁告警,统览整体网络态势。


其次,通过威胁分析,查看【威胁告警】及【事件列表】

命名为“cptdat.exe”的恶意文件因频繁修改文件,于3月11日17:46:35被天蝎EDR拦截并告警:

通过事件列表可看出其攻击的主机及攻击源IP,且已被自动处置:

点击【查看】显示更多细节分析,包括【进程详情】及【威胁事件列表】

右侧的主机信息能确认被攻击的靶机,根据【文件描述】,显示此恶意文件正是勒索变种病毒“5SS5C”!

该勒索变种病毒为实现攻击目标,创建了16个文件,其创建的文件列表也被依次罗列出来:

通过第三方威胁鉴定平台VirusTotal官网https://www.virustotal.com/,可知此勒索变种病毒“5SS5C”的Hash值已被全球71个中的63个威胁情报引擎认定为恶意文件:

网思科平威胁分析中心建议,各企业、单位需全面落实网络安全等级保护制度,切实做好勒索病毒的安全防御准备,确保关键信息和基础设施的运行安全及数据安全,并采取以下紧急预防措施:

  • 及时备份重要数据,健全备份管理机制
  • 安装恶意程序防护软件,开启主机防火墙,关闭非必要的服务和端口(如135、139、445、3389等高危端口)
  • 强化系统的密码口令,不同端点避免使用相同或相似的密码口令
  • 升级服务器操作系统,及时更新漏洞补丁
  • 在系统的关键节点建议部署天蝎终端侦测与响应系统(EDR)
  • 及时隔离、处置已感染的主机,避免内网横向扩散

文章来源: https://www.aqniu.com/vendor/65491.html
如有侵权请联系:admin#unsafe.sh