本帖最后由 360主动防御 于 2020-1-2 17:09 编辑
近日,360安全大脑监测到一款名为Buran勒索病毒正在逞凶肆虐。据了解,该病毒是从去年八月开始进入我国,起初是以邮件形式进行传播,且主要于国外活动,故国内感染量不大。
但最近几日,该勒索病毒传播形式转为通过RDP爆破拿到远程桌面密码后手动投毒,感染量不断上升,对用户电脑及财产安全造成极大威胁。不过,广大用户不必太过担心,360安全大脑已第一时间发现并支持对Buran勒索病毒的拦截查杀。
以RDP爆破的方式获取用户密码 Buran勒索病毒肆意“投毒”
密码贯穿着我们的互联网生活,无论是游戏,还是办公,都需要通过密码对财产和隐私进行保护。密码的重要性不言而喻,而根据360安全大脑的检测分析,Buran勒索病毒正是通过爆破的方式获取用户桌面密码,并对其电脑进行手动投毒。
360安全大脑对Buran勒索病毒的活动全程进行了详细分析,该病毒在启动后可根据不同参数,执行不同的动作。主要针对无参数、参数为-start和参数为-agent<IndexInReg>三种情况,在无参数时,Buran勒索病毒将自身复制到指定目录并设置自启动,以参数-start重起新目录下病毒文件,删除当前执行目录下病毒文件并退出。
在参数为-start时,Buran勒索病毒会为当前用户生成一对RSA公私钥和病毒自定义MachineID,并使用RC4算法加密后拼接RC4加密密钥再写入到注册表中,删除卷影副卷、禁用系统开机自动修复、清空注册表RDP连接记录、禁用系统日志记录、清空日志记录。在遍历磁盘后,将盘符写入到注册表中,用参数-agent<IndexInReg>为每个盘符创建一个buran进程(如-agent 0对应C盘)。
在参数为-agent<IndexInReg>时,Buran勒索病毒对文件进行加密,并在加密文件时自行避过系统、程序、用户和浏览器等程序运行相关的目录,以免加密后系统和浏览器无法运行而使用户难以支付赎金。
值得一提的是,Buran勒索病毒会根据文件大小采取两种不同的加密方式。在正式支付赎金前,黑客允许用户免费解密一个文件,来确认正常解密文件的真实性。
勒索病毒疫情仍是重要隐患 360安全大脑可及时防护
前不久,360安全大脑发布了《2019年勒索病毒疫情分析报告》,报告指出,目前勒索病毒仍然是网络安全领域的首要安全威胁,严重影响了政企及个人用户的网络安全。而在不到一个月的时间里,Buran勒索病毒便伺机猖獗,足以可见我国网络安全形势的严峻性。
目前,该病毒正处于扩散上升期,若不及时防范很有可能在企业内网间大范围扩散,威胁企业数据隐私以及财产安全。针对Buran勒索病毒,360安全大脑给出以下几点安全建议:
1、前往weishi.360.cn下载安装360安全卫士进行防护。
2、建议设置长度为18位、加大小写、加字符、加数字的密码,最好每三个月更换一次密码。
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份。
4、定期检测系统和软件中的安全漏洞,及时打上补丁。
| 
发表于 2020-1-2 14:45:56
