1月29日瑞星拦截一款病毒样本 做者"GoRansom".
病毒采用Go语言开发,使用非对称算法加密文件,病毒运行后会加密指定文件,包括文档、图片、视频等格式文件,被加密文件会追加.encryted后缀,而后在桌面释放勒索提示,用户支付赎金解锁文件。
http://www.gxnews.com.cn/staticpages/20190129/newgx5c50572d-18003435.shtml(软文倾向)html
另外一份资料:
包含有病毒的详细分析
http://news.tom.com/201901/4544537683.htmlweb
MongoLock病毒直接删除文件,而后将文件备份。将重要档案,经过洋葱网络备份,到云端服务器。(由于跳板太多,不容易追踪来源。这里对洋葱网络备份抱疑问态度)
https://tw.news.yahoo.com/驚-新-波勒索病毒又來-直接刪除用戶檔案-065300079.html(软文倾向)算法
360安全卫士发布了Satan卷土重来的消息,加密难度增大,影响百余台Windows服务器。更新后的Satan勒索病毒只包含中文,若是用户想解密,必须支付一个比特币,72小时未支付,赎金翻倍。
最新的satan病毒使用了新的文件加密后缀evopro
http://industry.caijing.com.cn/20190131/4560159.shtml数据库
https://guanjia.qq.com/news/n1/2441.htmlwindows
*
对文件加密(流行)
*
对分区进行加密
*
禁止用户正常登录操做系统浏览器
https://guanjia.qq.com/pr/ls/#navi_0安全
对已经中毒的机器作下线处理服务器
*
检查登陆密码是否为弱口令
*
检查是否开放高风险服务端口 21\22\23\25\80\135\139\443\445\3306\3389
*
检查机器防火墙是否开启
*
检查机器ipc空链接鸡鸡默认共享是否开启。 windows下使用net share命令查看,若返回的列表为空即未开启,不然为开启默认共享。列表中出现CKaTeX parse error: Expected 'EOF', got '\D' at position 1: \̲D̲\E
链接权限后,可随意读写。该类共享用不到的状况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……
*
检查机器是否关闭自动播放功能 方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置—管理模板—系统—“关闭自动播放”,双击进入编辑界面,对全部驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操做”。
*
检查机器安装软件状况,是否有低版本漏洞软件
*
检查本机office、abobe、web浏览器等软件是否更新到最新版本以及安装最新补丁
*
检查本机系统补丁是否安装到更新网络
A、按期进行安全培训,平常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续按期更新各种系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和过后回溯。
D、建议因为其余缘由不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、建议对于存在弱口令的系统,需在增强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。
F、建议对于存在弱口令或是空口令的服务,在一些关键服务上,应增强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来讲,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每一个主流操做系统、应用服务的生命周期。
H、建议对数据库帐户密码策略建议进行配置,对最大错误登陆次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
I、建议对数据库的管理访问节点地址进行严格限制,只容许特定管理主机IP进行远程登陆数据库。
J、关键应用系统按期进行安全测试和加固。app