最近我們收到數個報告及求助電話,未使用卡巴斯基產品的公司,系統受到Crysis勒索軟件入侵,檔案被惡意加密要求支付贖金,似乎Crysis最新變種正活躍攻擊,企業應提高警覺!
卡巴斯基實驗室產品已能偵測及移除
雖然求助的企業非使用卡巴斯基產品,而且卡巴斯基除已能透過資料庫偵測及移除Crysis新變種外,也能使用System Watcher作嚴密有效的防護,不過我們亦建議客戶在遠端桌面功能(RDP)方面作出更多加強安全性的措施。
感染手法靠硬撞RDP密碼入侵系統
此次報告的新變種,特點是以.java為加密檔案的結尾,而且和Crysis勒索軟件家族一樣,先透過暴力破解(brute-force)方法硬撞遠端桌面控制埠3389的密碼,由此進入企業網絡,再於網絡內潛伏一段時間,安裝keylogger之類的軟件收集更多網絡內用戶的帳戶及密碼。
黑客潛伏於受害公司的網絡內可展達數個月,期間收集更多資料,一方面尋找延伸攻擊的可能性,亦評估該企業的規模及經濟能力,以此定出「贖金」,更有受害者電腦被放入「挖礦程式」用以規黑客收集Bitcoin等加密貨幣。當黑客認為資料收集足夠後,Crysis會自我執行,加密系統內所有檔案並顯示勒索訊息。
舊的Crysis已有解密工具,不過新的變種則暫時未有不付贖金解密檔案的方法。
由於不少企業有開放RDP Port 3389,Crysis以暴力攻擊的手法撞破密碼而取得系統控制權,企業可能不易察覺,而且黑客取得登入帳戶,在網絡內放置惡意程式亦容易避開一般防毒軟件監察,這種勒索軟件攻擊每個案件涉及一定人力參與,變得精密難於偵測,有一定的危險性。
卡巴斯基企業安全產品用戶可作出以下提高防護的措施
卡巴斯基實驗室一直密切留意Crysis,之前亦發放過舊版本的解密工具,以完善的資料庫及惡意行為分析加上System Watcher的功能,已能成功偵測攔截Crysis。不過為保障你的資料安全,我們建議你採取以下安全措施
- 如非必要,建議關閉遠端桌面控制(RDP)或限制存取
- 如需使用RDP,請設定更高安全性的複雜密碼並經常轉換密碼
- 確保已經啟動 System Watcher (詳細步驟)
- 檢查病毒資料庫,盡量保持在最新狀態,程式也盡量免費升級至最新版本
- 務必開啟Kaspersky Security Network接收實時威脅資料更新
- 設定Application Priviledge Control防止勒索軟件加密檔案 (教學影片)
相關的Crysis新聞可參考以下網頁
最後,再三提醒各系統管理員,在非常時期提高警惕,System Watcher的檔案復原功能,必需在事前開啟才能發揮功效,所以在不幸事情發生前,請趕快開啟System Watcher和Automatic Exploit Prevention功能,以降低蒙受損失的風險。
