satan 勒索、挖矿同时下手 这个Satan变种病毒有点“牛”

腾讯遇见威胁情报中心发现撒旦病毒最新变种，不分青红皂白攻击Windows系统和Linux系统，然后植入勒索病毒勒索比特币和挖掘木马在赵衷电脑中挖掘门罗币。

研究人员表示:“病毒入侵系统后，同时植入勒索病毒和挖掘病毒的情况非常罕见，甚至令人难以置信。这是因为挖掘病毒需要潜伏很长时间，存活时间越长，收益越大；一旦ransomware对用户数据进行加密，就会很快被用户注意到。一旦用户在系统中发现了一个ransomware，他经常会检查系统是否有病毒查杀，或者断开系统与网络的连接，挖掘出的病毒就很难隐藏。”

那么，这种最新变种的撒旦病毒是如何实现“双重攻击”的呢？

经研究发现，一方面，病毒会在被招募的Windows电脑中植入攻击模块conn.exe，利用永恒之蓝漏洞攻击局域网Windows电脑；

另一方面，病毒会通过利用JBoss、Tomcat、Weblogic、Apache Struts2、Tomcat弱密码爆破的多个组件漏洞攻击Windows和Liunx服务器，并在招募的Linux机器上植入攻击模块conn32/conn64，以上述方式利用SSH弱密码对Linux系统进行爆破攻击。

至此，撒旦变种木马的最新攻击模式将导致Windows系统和Linux系统同时出现相应勒索和挖掘木马的蠕虫式传播。

简单总结一下攻击过程，就是攻击成功后先植入母fast.exe，作为下载器运行后下载勒索模块cpt.exe，挖掘模块srv.exe，攻击模块conn.exe。

安全建议:

1.服务器暂时关闭不必要的端口。有关方法，请参考https://guanjia.qq.com/web_clinic/s8/585.html

2.下载更新Windows系统补丁，修复永恒蓝系列漏洞XP，Windows Server 2003，win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx? q = kb 4012598

Win7，win8.1，Windows Server 2008，Windows 10，Windows Server 2016等。系统访问:https://TechNet . Microsoft . com/zh-cn/library/security/ms17-010 . aspx。

3.定期加固服务器，尽快修复服务器相关组件的安全漏洞，在服务器端安装安全软件

4.服务器Tomcat后台登录和SSH登录使用高强度密码，不使用弱密码，防止黑客暴力破解

5.使用安全软件拦截可能的病毒攻击