satan 勒索、挖矿同时下手 这个Satan变种病毒有点“牛”
腾讯遇见威胁情报中心发现撒旦病毒最新变种,不分青红皂白攻击Windows系统和Linux系统,然后植入勒索病毒勒索比特币和挖掘木马在赵衷电脑中挖掘门罗币。
研究人员表示:“病毒入侵系统后,同时植入勒索病毒和挖掘病毒的情况非常罕见,甚至令人难以置信。这是因为挖掘病毒需要潜伏很长时间,存活时间越长,收益越大;一旦ransomware对用户数据进行加密,就会很快被用户注意到。一旦用户在系统中发现了一个ransomware,他经常会检查系统是否有病毒查杀,或者断开系统与网络的连接,挖掘出的病毒就很难隐藏。”
那么,这种最新变种的撒旦病毒是如何实现“双重攻击”的呢?
经研究发现,一方面,病毒会在被招募的Windows电脑中植入攻击模块conn.exe,利用永恒之蓝漏洞攻击局域网Windows电脑;
另一方面,病毒会通过利用JBoss、Tomcat、Weblogic、Apache Struts2、Tomcat弱密码爆破的多个组件漏洞攻击Windows和Liunx服务器,并在招募的Linux机器上植入攻击模块conn32/conn64,以上述方式利用SSH弱密码对Linux系统进行爆破攻击。
至此,撒旦变种木马的最新攻击模式将导致Windows系统和Linux系统同时出现相应勒索和挖掘木马的蠕虫式传播。
简单总结一下攻击过程,就是攻击成功后先植入母fast.exe,作为下载器运行后下载勒索模块cpt.exe,挖掘模块srv.exe,攻击模块conn.exe。
安全建议:
1.服务器暂时关闭不必要的端口。有关方法,请参考https://guanjia.qq.com/web_clinic/s8/585.html
2.下载更新Windows系统补丁,修复永恒蓝系列漏洞XP,Windows Server 2003,win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx? q = kb 4012598
Win7,win8.1,Windows Server 2008,Windows 10,Windows Server 2016等。系统访问:https://TechNet . Microsoft . com/zh-cn/library/security/ms17-010 . aspx。
3.定期加固服务器,尽快修复服务器相关组件的安全漏洞,在服务器端安装安全软件
4.服务器Tomcat后台登录和SSH登录使用高强度密码,不使用弱密码,防止黑客暴力破解
5.使用安全软件拦截可能的病毒攻击