近日,火絨安全團隊成功破解勒索病毒Aurora的密鑰,幫助某企業用戶恢復了所有被加密的文件。這是繼去年國產的“微信支付”勒索病毒和近期流行的“GandCrab“之後,第三個被火絨團隊成功解密的勒索病毒。
目前該病毒還在蔓延,請廣大政企單位加強防範,一旦發現有疑似感染現象,可用火絨產品查殺,或求助火絨團隊。
4月12日,火絨接到山西某能源企業求助,稱遭遇勒索病毒攻擊。火絨安全團隊立即通過遠程分析確認,該病毒於4月9日通過弱口令暴破後遠程控制的方式入侵用戶電腦(關於遠程防護,火絨有著成熟的解決方案,詳情可查閱《火絨安全警報: "黑客入侵+勒索"惡性事件日增 狙殺式攻擊政企單位》),並第一時間卸載安全軟件,然後實施加密任務,被加密的文件後綴名均變為cryptoid,最後要求支付350美元贖金獲得密鑰。
據火絨工程師介紹,該病毒在開始勒索前,會在本地留下加密、解密的相關數據,根據這些數據成功提取到了秘鑰。
實際上,該病毒並非新型勒索病毒,“火絨產品”(企業版、個人版)均可攔截查殺該病毒。但近期該病毒有大範圍活躍的跡象,有友商也在山東發現該勒索病毒出現的案例,火絨團隊提醒廣大政企單位注意防範,如果中毒,可隨時聯繫火絨獲得解密工具。
最後,火絨安全團隊建議政企用戶:
1、在業務允許的情況下關閉常見危險端口,例如遠程端口3389等,如果業務有遠程需求,可使用“火絨企業版”的“遠程桌面”功能。2、採用高強度的密碼,及時打補丁修復漏洞,並對重要文件和數據定期備份。
閱讀更多 火絨安全實驗室 的文章
