藤小二電腦修配坊  電腦病毒新聞-新型“無文件”勒索軟體來襲建議提前做好防禦措施,新浮現一款名為「SOREBRECT」的勒索軟體,其結合了「無文件」攻擊和代碼注入兩種攻擊方式。(2017/6/23)

新浮現一款名為「SOREBRECT」的勒索軟體,其結合了「無文件」攻擊和代碼注入兩種攻擊方式。

原文網址:https://kknews.cc/tech/q2xzm4b.html

kato3c pagelogo a.jpg

kato3c-pcbuy logo 2.gifkato3c-pcrp logo.gifkato3c-line logo.gifkato3c-map logo 2.gifkato3c-page logo.gifkato3c-mes logo.gifkato3c-yes logo.gifkato3c-COFFIE logo.gif

 →W10安裝後的設定 →Google雲端教學  →SyncBack自動備份 

藤老二言:

今年2017年算是勒索病毒解放年,

不同類型的勒索病毒一直變種發作。

而這個「SOREBRECT」的勒索軟體,好像是針對網路共享來傳染的,

其實就藤五月處理到的"想哭"勒索病毒,

也是會透過網芳去感染別台電腦,

像藤就有遇到公司客戶,全公司的電腦都中勒索病毒,

資料只能全部刪除...

所以藤在此建議,如果要分享資料夾,

分享的權限以"讀取"為主,不要開啟"寫入"權限。

 

 

https://www.facebook.com/twcertcc/posts/1966593633570372

【駭侵事件】新型 「非檔案型」勒索軟體 Sorebrect ,可遠端注入惡意程式碼進行檔案加密

1. 資安專家近期發現一種新型「非檔案型」勒索軟體 Sorebrect,允許駭客將惡意程式碼注入目標作業系統中的合法處理程序(svchost.exe)並終止其二進制代碼以規避安全機制檢測,還透過使用wevtutil 刪除受影響系統的事件日誌以阻礙取證分析。

2. 勒索軟體 Sorebrect 可利用 Tor 網路匿名連接至命令與控制(C&C)服務器中。與其他勒索軟體不同的是,Sorebrect 專門針對製造、科技與電信等企業系統注入惡意代碼,以便在本地系統和共享網路中加密文件。

3. 研究人員注意到,勒索軟體 Sorebrect 首先透過暴力攻擊等手段入侵管理員帳戶,然後利用 PsExec 命令列執行檔案加密。

4. 趨勢科技表示,雖然攻擊者可以使用遠程桌面協定(RDP)或 PsExec 在受影響的機器中安裝 Sorebrect 惡意軟體,但與 RDP 相比,利用 PsExec 更為簡單,PsExec 可允許攻擊者執行遠程命令,而非使用交互登錄對話或手動傳輸惡意軟體至遠端機器設備,如RDPs。

5. 調查顯示,研究人員首次在中東國家 Kuwait 與 Lebanon 地區發現該勒索軟體跡象。隨後,他們於近期觀察到加拿大、中國、克羅地亞、意大利、日本、墨西哥、俄羅斯、台灣和美國等國家系統也紛紛遭受勒索軟體 Sorebrect 攻擊。

6. 趨勢科技安全專家提出以下建議,以防止駭客攻擊:

a.限定用戶寫入權限
b.管制 PsExec 執行權限
c.經常備份檔案
d.落實更新系統
e.進用網路安全機制

參考連結:
[1]http://thehackernews.com/…/fileless-ransomware-code-injecti…
[2]http://blog.trendmicro.com/…/analyzing-fileless-code-injec…/

 

 

 
  

SOREBRECT的目標主要集中在科威特和黎巴嫩等中東國家。然而,在WannaCry肆虐之前,這款惡意軟體就已經出現在加拿大、中國(包括中國台灣地區)、克羅埃西亞、義大利、日本、墨西哥、俄羅斯和美國的電腦中,感染的行業包括製造業、技術和電信行業。

 

Trend Micro表示,考慮到勒索軟體的潛在影響和盈利能力,SOREBRECT出現在其它地方、甚至網絡犯罪地下市場都不足為奇。

攻擊期間,這款惡意軟體會濫用PsExec。這就意味著,攻擊者已經獲取了管理員登錄憑證,使遠程設備暴露或遭受蠻力攻擊。

SOREBRECT勒索軟體

SOREBRECT並非首個濫用PsExec的勒索軟體家族,其它這類勒索軟體還包括SamSam和Petya。 PetrWrap也曾濫用該公用程序在被感染伺服器或端點上安裝Petya勒索軟體。但區別在於,SOREBRECT這種新型威脅會惡意部署PsExec,並執行代碼注入。



原文網址:https://kknews.cc/tech/q2xzm4b.html

    全站熱搜

    藤小二 發表在 痞客邦 留言(0) 人氣()