48小时内未支付    赎金翻倍

警惕Satan变种勒索病毒5ss5c

虽已到3月，疫情防控仍不可放松警惕，未完全复工的企业多采取远程办公的方式。为提高远程办公的效率，许多企业开启了业务系统的对外服务，这种模式无疑为蛰伏的网络攻击提供了可趁之机。

例如，疫情期间异常活跃的Satan勒索病毒的变种病毒——”5ss5c”

该病毒类似Satan为木马下载器，它下载并利用永恒之蓝和一些poc来进行传播，勒索模块就是cpt.exe，遍历7z，bak，cer，csv，db，dbf，dmp，docx，eps，ldf，mdb，mdf，myd，myi，ora，pdf，pem，pfx，ppt，pptx，psd，rar，rtf，sql，tar， txt，vdi，vmdk，vmx，xls，xlsx，zip后缀名的文件然后加密，加密后添加后缀为.5ss5c，并提示勒索勒索一个比特币（5W多），如果在2天之内没有完成支付，则赎金翻倍。

天蝎EDR轻松拦截5ss5c

众所周知，勒索病毒的赎金成本颇高，一旦爆发将致使企业损失惨重。在毫无前兆的高级变种勒索攻击的形势下，能够主动防御未知的高级威胁，且能快速识别并响应的防御体系是市场刚需。如果您已部署天蝎终端侦测与响应系统(EDR)，即可轻松拦截此变种勒索病毒——

首先，登录天蝎威胁分析平台，在【威胁分析中心】统览整体网络态势

界面清晰显示了告警的主机数、告警排行、处置统计、自动拦截的威胁事件、流量最大的进程占比、事件类型统计、最新10条威胁告警，统览整体网络态势。

其次，通过威胁分析，查看【威胁告警】及【事件列表】

命名为“cptdat.exe”的恶意文件因频繁修改文件，于3月11日17:46:35被天蝎EDR拦截并告警：

通过事件列表可看出其攻击的主机及攻击源IP，且已被自动处置：

点击【查看】显示更多细节分析，包括【进程详情】及【威胁事件列表】

右侧的主机信息能确认被攻击的靶机，根据【文件描述】，显示此恶意文件正是勒索变种病毒“5SS5C”！

该勒索变种病毒为实现攻击目标，创建了16个文件,其创建的文件列表也被依次罗列出来：

通过第三方威胁鉴定平台VirusTotal官网https://www.virustotal.com/，可知此勒索变种病毒“5SS5C”的Hash值已被全球71个中的63个威胁情报引擎认定为恶意文件：

防御措施

网思科平威胁分析中心建议，各企业、单位需全面落实网络安全等级保护制度，切实做好勒索病毒的安全防御准备，确保关键信息和基础设施的运行安全及数据安全，并采取以下紧急预防措施：

• 及时备份重要数据，健全备份管理机制
• 安装恶意程序防护软件，开启主机防火墙，关闭非必要的服务和端口（如135、139、445、3389等高危端口）
• 强化系统的密码口令，不同端点避免使用相同或相似的密码口令
• 升级服务器操作系统，及时更新漏洞补丁
• 在系统的关键节点建议部署天蝎终端侦测与响应系统(EDR)
• 及时隔离、处置已感染的主机，避免内网横向扩散