近日,多家企業(yè)中勒索病毒的消息在安全業(yè)界激起千層浪,引發(fā)了廣泛的社會關注。360安全大腦監(jiān)測到這款新型勒索病毒名為RoBaj,使用C#編寫,通過暴力破解遠程桌面登錄口令的方式入侵系統(tǒng)并手動投毒。該病毒不僅提供中文勒索信息,自身還被蠕蟲感染,具有蠕蟲功能,讓受害者面臨的威脅與損失加倍擴大。360目前已完成對該病毒的破解,中招的企業(yè)用戶可以聯(lián)系360進行解密。
據(jù)悉,該病毒使用典型的勒索攻擊方式,首先投放橫移工具,如Netpass64.exe、Windows密碼破解器等,之后開始進一步橫向滲透,擴大攻擊范圍。當病毒RoBaj-S.exe被觸發(fā)執(zhí)行后,會釋放使用的資源文件;釋放必要的文件后,程序會以"Zx "參數(shù)啟動之前釋放在Public Docker目錄下的system32.exe加密程序,其目的是為了繞過一些分析沙箱的自動檢測。再之后,病毒會執(zhí)行Files目錄下的off-task.exe程序,通過修改注冊表來禁用一系列系統(tǒng)的安全管理及防護功能,并將自身添加為開機啟動項,以此來保證下次開機能繼續(xù)運行。
值得注意的是,該勒索病毒的開發(fā)者環(huán)境似乎被Neshta蠕蟲感染,所以中招用戶發(fā)現(xiàn)被RoBaj攻擊后,除了需對勒索病毒展開排查和清理外,還需檢查是否被Neshta蠕蟲所感染。
面對此類勒索病毒威脅,360安全大腦給出如下安全建議:
1、企業(yè)用戶可通過安裝360終端安全管理系統(tǒng),有效攔截木馬病毒威脅,保護文件及數(shù)據(jù)安全。
2、安裝后確保開啟安全軟件,保證其對設備的安全防護。
3、遇到安全軟件報毒的程序,不要輕易添加信任或退出安全軟件。
360終端安全管理系統(tǒng)是以大數(shù)據(jù)、云計算等新技術為支撐,以可靠服務為保障,集防病毒與終端安全管控功能于一體的企業(yè)級安全產(chǎn)品。在360安全大腦的極智賦能下,360終端安全管理系統(tǒng)可對RoBaj等病毒威脅做出有效處理。
