No.1

概? ? 况

近日，全国各地多省大中小型公司不断遭受勒索病毒攻击，经美创室验室剖析清查，均为一款名叫“Sodinokibi”的勒索病毒作怪。该勒索病毒大家族的经营犯罪团伙最近出现异常活跃性，对于中国诸多领域进行攻击，以“先攻克一台，再遮盖各大网站”的技巧，对客户内部网服务器推广勒索开展加密，遭灾最比较严重的公司内部网 *** 服务器基础偏瘫，每一次遭到攻击破译所需保释金下不来二十万rmb。

No.2

病毒感染状况

美创室验室之一时间取得有关病毒代码，经 virustotal 检验，确定为 Sodinokibi勒索病毒。Sodinokibi在实行加密时，应用RSA salsa20优化算法加密电脑的秘密文件，后缀名由任意的英文字母或数据构成。加密后，危害客户重要业务流程运作，且临时没法破译。

在该勒索病毒主题活动的前期，曾根据漏洞检测的技巧来开展攻击，被公布的漏洞检测包含Confluence系统漏洞(CVE-2019-3396)、UAF系统漏洞(CVE-2018-4878)、Weblogic反序列化系统漏洞（CVE-2019-2725）等。也许是漏洞检测的总体目标范畴较小，攻击全过程比较繁杂，从7月份逐渐，该勒索病毒的攻击技巧慢慢转变成比较快速的RDP工程爆破。Sodinokibi还清除了好多个俄语系我国及欧洲国家不开展加密毁坏行動，这充足说明了它是一次有蓄谋的具备地区目的性的 *** 黑客攻击。

No.3

详细资料

Sodinokibi的关键攻击全过程为，先应用扫描仪工程爆破等 *** ，获得到内部网中一台比较欠缺的服务器管理权限，再提交黑客工具包对里网开展扫描仪工程爆破或登陆密码爬取，挑选关键的 *** 服务器和PC开展加密，可以说一台陷落，各大网站殃及。攻击取得成功后，储存在电子计算机上的全部文档都被加密，并转化成勒索信息内容文档，文件夹名称为：[加密后缀名]-readme.txt，提醒受害人怎样交纳保释金获得解密工具，文档信息内容以下：

而且，加密后会改动服务器桌面背景为暗蓝色：

No.4

防护措施

大家都知道，公司系统软件易损性是公司被勒索病毒侵入的根因，许多公司内部网关键 *** 服务器尽管打开了防工程爆破、强登陆密码等维护，但一般PC仍存有系统漏洞、明文密码、高风险端口号曝露等众多难题，才给了 *** 黑客机会！美创室验室再度提示众多客户，勒索病毒防止为主导，现阶段绝大多数勒索病毒加密后的文档都没法破译，留意日常预防措施，以尽量防止损害：

（1）立即给电脑上修复漏洞，修补系统漏洞。（2）对关键的数据库文件按时开展非当地备份数据。

（3）不必点一下来路不明的邮件附件，不从未知网址下载应用。

（4）RDP虚拟服务器等联接尽可能应用高韧性且没有规律性的登陆密码，不必应用明文密码。

（5）尽可能关掉多余的共享文件。

（6）尽可能关掉多余的端口号。

之上为安全防护勒索病毒的基本 *** ，为了更好地更强的解决已经知道或不明勒索病毒的威协，美创根据对很多勒索病毒的剖析，根据零信任、守白知黑标准，创造力的科学研究出对于勒索病毒的终端设备【诺亚防勒索系统软件】。诺亚防勒索不在关注系统漏洞传播效果的状况下，可安全防护一切已经知道或不明的勒索病毒。下列为诺亚防勒索对于这款勒索病毒的安全防护实际效果。

美创诺亚防勒索可根据服务器端统一下达对策并升级。默认设置对策可维护office文本文档【如想维护数据文件可根据加上对策一键维护】。

无诺亚防勒索安全防护的状况下：

在test文件目录下，加上下列文档，若 *** 服务器中了勒索病毒，该文件被加密，提升了任意的英文字母或是数据构成的后缀名，而且没法一切正常开启。

打开诺亚防勒索的状况下：

双击鼠标实行病毒感染文档，当勒索病毒试着加密被维护文档，即test文件目录下的文档时，诺亚防勒索明确提出警示并阻拦该个人行为。

查询系统软件上被检测的文档，可被一切正常开启，取得成功安全防护恶意程序对被维护文档的加密个人行为。

打开堡垒方式的状况下：

为维护系统软件全部文件，可一键打开诺亚防勒索的堡垒方式。堡垒方式关键对于亚终端设备，比如ATM机，ATM机的终端设备基础不怎么会升级，那麼堡垒方式出示一种体制：一切打开堡垒方式以后再进到终端设备的可执行程序都将被阻拦运作，进而完成诺亚防勒索的最強安全防护方式。运作在堡垒方式下，实行该病毒感染，马上被清除到危险标志，因而可阻拦一切不明勒索病毒的实行。

?

更毒、更惨、难以杀的新一代NEMTY勒索病毒来啦！

全自动运维管理|运维管理专用工具的不断迅速交货实践活动

【预警信息】具备极高可配备性的Zeppelin勒索病毒袭来！！！

【风险】可绕开防毒软件的Snatch病毒感染来啦！！！

当堡垒机会上防水坝，1 1撞击的安全性便是那么稳！