近日,瑞星安全研究院捕獲到了一個(gè)全新針對Linux平臺的勒索軟件——Sfile,因其部分變種習慣將被加密文件的后綴名附帶上目標企業(yè)的英文名稱(chēng),所以瑞星得知已有國內某企業(yè)成為該勒索軟件的攻擊目標。目前,瑞星ESM防病毒終端安全防護系統等企業(yè)級產(chǎn)品可攔截并查殺相關(guān)勒索軟件,廣大用戶(hù)可安裝使用,規避該類(lèi)風(fēng)險。
圖:瑞星ESM防病毒終端安全防護系統查殺Sfile勒索軟件
瑞星安全專(zhuān)家介紹,此次捕獲到的Sfile勒索軟件變種采用RSA+AES算法模式進(jìn)行加密,通過(guò)提供一些特定的命令行參數可以進(jìn)行針對性的攻擊調整,包括:修改擴展名、設置文件加密大小等,因此在沒(méi)有RSA私鑰的情況下暫時(shí)無(wú)法對被加密文件進(jìn)行解密。在此次攻擊中,Sfile勒索軟件使用了nuctech-gj0okyci作為后綴名,因而判斷此次被攻擊的目標為國內某企業(yè)。通過(guò)勒索信可以看出,攻擊者要求目標通過(guò)指定郵箱與其進(jìn)行聯(lián)系,如果目標用戶(hù)不與其合作,被加密的文件資料等信息將被出售或公布出去。
圖:攻擊者發(fā)布的勒索信
瑞星安全專(zhuān)家表示,由于目前企業(yè)所用的服務(wù)器多為L(cháng)inux系統,攻擊者可以通過(guò)任意手段入侵服務(wù)器然后加密文件,因此攻擊者獲取贖金的概率更高,對于企業(yè)的損失會(huì )更大。同時(shí),鑒于Linux系統平臺對虛擬化技術(shù)的良好支持,未來(lái)隨著(zhù)云計算平臺的不斷發(fā)展,針對Linux系統的勒索攻擊會(huì )更加猛烈,企業(yè)數據將成為勒索軟件攻擊的主要目標,也將有更多勒索軟件采用類(lèi)似APT的定向攻擊方式將利益最大化。
由于近段時(shí)間針對Linux系統的勒索攻擊愈加頻繁,瑞星安全專(zhuān)家為廣大用戶(hù)提供以下防范建議,幫助企業(yè)用戶(hù)規避Sfile勒索軟件帶來(lái)的安全風(fēng)險。
1.針對RDP弱口令攻擊的防范建議:
- 限制可使用RDP的用戶(hù),僅將遠程訪(fǎng)問(wèn)授權給那些必須用它來(lái)執行工作的人。
- 建立雙重驗證,如Windows平臺下的Duo Security MFA或Linux平臺google-authenticator等認證程序。
- 設置訪(fǎng)問(wèn)鎖定策略,通過(guò)配置賬戶(hù)鎖定策略,調整賬戶(hù)鎖定閥值與鎖定持續時(shí)間等配置可以有效抵御一定時(shí)間下高頻的暴力破解。
- 審視RDP的使用需求,如果業(yè)務(wù)不需要使用它,那么可以將所有RDP端口關(guān)閉,也可以?xún)H在特定時(shí)間之間打開(kāi)端口。
- 重新分配RDP端口,可考慮將默認RDP端口更改為非標準的端口號, 可避免一部分惡意軟件對特定RDP端口的直接攻擊,仍需另外部署端口掃描攻擊防范措施。
- 定期檢查、修補已知的RDP相關(guān)漏洞。
- 創(chuàng )建防火墻規則限制遠程桌面的訪(fǎng)問(wèn), 以?xún)H允許特定的IP地址。
- RDP的登陸,應使用高強度的復雜密碼以降低弱口令爆破的機會(huì )。
2.針對系統安全性的防范建議:
- 及時(shí)更新軟件及系統補丁。
- 定期備份重要數據。
- 開(kāi)啟并保持殺毒軟件及勒索防護軟件功能的正常。
- 定期修改管理員密碼并使用復雜度較高的密碼。
- 開(kāi)啟顯示文件擴展名,防范病毒程序偽裝應用程序圖標。
3.針對局域網(wǎng)安全性的防范建議:
- 非必要時(shí)可關(guān)閉局域網(wǎng)共享文件或磁盤(pán),防止病毒橫向傳播。
- 對局域網(wǎng)共享文件夾設置指定用戶(hù)的訪(fǎng)問(wèn)權限,防止不必要的權限遭到病毒濫用。
- 通過(guò)防火墻規則限制如445、3389端口/關(guān)閉445、3389端口或是修改端口號,防止病毒通過(guò)掃描端口等方式查詢(xún)區域資產(chǎn)信息。
