HRM勒索病毒新变种来袭 腾讯智慧安全支招“解密_
随着网络安全教育的普及,公众的保护意识也在逐步增强。然而,勒索软件的攻击技术也经常被迭代,伪装和隐藏的方式更加多样和隐蔽,难以轻易检测。近日,腾讯智能安全威胁情报中心通过观察受害者的机器感染现场,发现得到了不少勒索软件病毒的帮助,都是由HRM勒索软件家族进行的。擅长通过网络钓鱼邮件、远程桌面管理(RDP)爆炸等方法进行扩散,由于使用RSA+AES的加密方式,如果不得到病毒作者的秘密密钥,用户文件就无法解密,因此预计会造成损失。
事实上,HRM勒索软件病毒于2017年11月首次出现。加密文件完成后,它被命名为HRM勒索软件病毒,因为它在文件名后添加了一个.HRM扩展后缀,并从勒索者那里接收提示信息。这个家族可以避免扩展名,如dll,lnk,hrmlog,ini,exe等,而无需加密,其余的文件将被加密。据安全专家介绍,病毒家族使用的传播方式非常隐蔽,母体病毒伪装成PDF文档,在shell压缩和shell之后会出现大量代码混淆,达到隐藏自身的目的。在这次攻击中,HRM勒索软件病毒还具有以下特征:首先,排除Windows,AhnLab,Chrome,Mozilla和$Recycle. bin等目录。然后,检查文件是否已加密,并对网络共享目录中的文件进行加密,以避免重复文件。删除阴影信息并删除与备份相关的文件。最后,在桌面上打开ransomware HTML文档并显示ransomware信息。有趣的是,该病毒还在俄罗斯、乌克兰、比利时和其他国家的登记处进行搜索。该病毒的变体采用远程桌面管理(RDP)攻击方法,允许攻击者在进入公司网络的远程桌面协议(RDP)端口后,利用暴力攻击轻松进入目标网络并将赎金软件上传到特定位置。目前,进入RDP的勒索软件攻击的比例正在上升,用户需要意识到此漏洞的重要性。为避免此类攻击再次发生,腾讯安全防病毒实验室负责人、腾讯电脑管家安全专家马金松提醒广大企业网络管理员,更改管理后台默认页面路径,设置白名单限制登录,并对用户进行登录。弱密码为了更改密码并避免执行服务时的高权限,您可以关闭不需要的端口,如445、135、139等,对3389、5900端口进行白名单配置。使用强密码,避免使用弱密码,并定期更改密码。对于服务器密码,我们建议您使用强而不规则的密码,并且您应该对每个服务器进行不同的密码管理。
与此同时,马金松还建议在终端和服务器上安装专业的安全防护软件。例如,在Web服务器上部署具有专业安全防护能力的云服务,如腾讯云,全面增强企业网络抵御攻击威胁的能力,在整个网络安装管理点终端安全管理系统。控制点终端安全管理系统具备终端防病毒统一控制、漏洞修复统一控制、策略控制等综合安全管理功能,帮助企业管理者全面了解和管理企业内部网的安全状况,保护企业安全。