新闻资讯 NEWS

实时发布天互官方新闻和媒体报道,了解天互最新动态

当前位置:新闻资讯 > 天互公告 > 正文
May
2019 13

【高危安全预警】Sodinokibi勒索软件识别与防御方案

  • 时间:2019/5/13 16:49:59
  • 阅读:5586次

       近日,我们接到多个客户反馈,发现多台服务器被勒索软件加密,文件的拓展名被修改成如x0n0p94、0cojq0jx等不规则的字符串的现象。经过初步分析,我们确认该样本属于Sodinokibi家族。

 

       根据国外安全研究团队的披露,攻击者传播Sodinokibi勒索软件的方式,往往是通过Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),而经过我们现场取证,发现此次攻击是通过爆破3389端口来进行传播的。

 

 

       在此,我们将公布初步的研究结果,以及用户如何防范,敬请知晓。

 

       预警报告信息: 
       病毒名称:Sodinokibi勒索软件 
       传播方式:Oracle WebLogic Server中的反序列化漏洞、远程桌面爆破 
       危害等级:高危 
       病毒性质:勒索软件

 

       病毒描述: 
       Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包括个人的ID序列号,以及恶意软件作者的联系方式。有趣的是Cisco Talos团队披露的攻击者勒索信息开头显示的是“Hello Dear friend”,而此处使用的是“Welcome Again”,不排除攻击者实施攻击的过程中有二次投递勒索软件的行为。

 


       访问文本显示的恶意软件作者的联系方式,输入感染ID序列号和文件后缀名会跳转到如下网页。

 

 

       防范措施: 
       1.Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本。 
       2.远程桌面避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。 
       3.修改远程桌面的默认端口3389,为其他5000以上端口。 
       4.对重要的数据文件定期进行非本地备份

 

       天互数据温馨提示:Sodinokibi勒索软件破坏力极大,请各位IT运维,金蝶、用友工程师提前做好防护工作与数据备份,保障数据、文件安全!如有问题,欢迎咨询天互数据。服务热线:029-62216222

——THE END——

上一篇: 突破自己 再创新高!天互数据5月启动大会成功召开

下一篇: 不忘初心,砥砺前行,天互数据七月员工启动大会圆满结束

为你推荐
天互数据助力成长
  • 售前咨询电话

    400-675-6239

  • 在线客服

    在线客服,立即响应

  • 建议反馈

    天互数据渴望您的建议

关注天互数据                   关注美猴云