近日,亚信安全截获最新Paradise(天堂)勒索病毒,该病毒加密本机及共享文件夹中的文件。加密后的文件名变为[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4,亚信安全将其命名为Ransom.Win32.PARADISE.A。
“天堂”勒索病毒技术细节分析
勒索母体文件,使用UPX加壳:
运行自身拷贝文件,文件名为随机字符串:
避免加密如下文件夹中的文件:
Windows、$Recycle.bin、System Volume Information
Program Files、ProgramFiles (x86)
每个加密的目录下,生成Instructions with your files.txt的勒索信息文件:
加密后的文件名变为[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4;
加密后提示勒索信息:
亚信安全教你如何防范
• 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
• 尽量关闭不必要的文件共享;
• 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;
• 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
• 不要点击来源不明的邮件以及附件;
• 如果需要发送带有附件的邮件,建议将附件加密压缩后再发送;
亚信安全产品解决方案
• 亚信安全病毒码版本14.905.60 ,云病毒码版本14.905.71,全球码版本14.907.00已经可以检测,请用户及时升级病毒码版本。
• 建议产品版本为OSCE 11+sp1及以上版本,开启行为监测功能,防御勒索病毒攻击。
在目前的网络威胁领域中,勒索软件仍然扮演着十分重要的角色。勒索病毒通过不断的创新试图避开杀毒软件检测。这就要求我们的产品不断更新,与勒索病毒持续抗衡。亚信安全防毒墙网络版(OfficeScan)开启针对勒索软件的行为阻止策略,可以有效拦截勒索病毒对系统中的文件进行加密。
申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!
亚信安全
亚信安全是中国网络安全软件领域的领跑者,是业内“懂网、懂云”的网络安全公司。秉承建网基因,坚守护网之责,亚信安全以护航产业互联为使命,以安全数字世界为愿景。基于“安全定义边界”的发展理念,亚信安全以身份安全为基础,以云网安全和端点安全为重心,以安全中台为枢纽,以威胁情报为支撑,构建“云化、联动、智能”的技术战略,守护亿万家庭和关键信息网络,为我国从网络大国向网络强国迈进保驾护航。
