CrySIS/Dharma 的變種 .arena 勒索軟件加密受害者數據
最後更新
2017年10月24日 11:52
發佈日期:
2017年10月24日
3697
觀看次數
風險: 高度風險
類型: 操作系統 - 視窗操作系統
HKCERT 收到數宗有關 Crysis/Dharma 勒索軟件變種的感染報告,主要是透過微軟平台的遠端桌面服務 (RDP) 取得伺服器的控制權。
影響
- 此勒索軟件加密受害者電腦上的檔案及為這些檔案加上 ID、電郵及 .arena 副檔名,即是 [原來的檔案名及副檔名].id-[ID].[電郵].arena。
- 網絡檔案伺服器上的資料也受影響。
- 被加密勒索軟件加密的檔案將無法還原。
注意:
由於另一款 CryptoMix 的變種亦會為被加密的檔案加上 .arena 副檔名,所以不要將兩款勒索軟件混淆。要分辨它們,該 CryptoMix 變種會將被加密檔案的名稱改變為隨機的英文及數字字串。而且,它們的勒索訊息內容上是各有不同。
影響
- 阻斷服務
受影響之系統或技術
- 微軟視窗
解決方案
一般用戶/公司,
如受感染:
- 立即停止網絡連線進行隔離,並移除連接到該電腦的儲存裝置。
- 立即隔離其他電腦及檔案伺服器。最迅速的做法是關閉網絡交換器(network switch)以停止大規模擴散。
- 未清理惡意軟件前不要開啟任何檔案。
- 我們不建議繳交贖款。
防護措施:
- 進行離線備份 (即是使用其他儲存裝置,備份後立即移除)。
- 對遠端桌面服務 (RDP) 套用保安限制:
- 如非必要,切勿對互聯網開放電腦的遠端桌面服務。
- 只允許特定的 IP 以存取啟用了遠端桌面服務的電腦。
- 限制遠端連線的許可時間,例如禁止非辦公時間的連線。
- 使用最少權限原則來規限可進行遠端連線的帳戶。如非必要,請勿給予管理員權限。
- 使用複雜的連線密碼及定期更改。
- 考慮使用 VPN 方案來保護登入程序及連線,配有雙重認證則更好。
- 如果電腦需要由第三方管理,例如供應商的支援,建議與他們溝通以實施安全的渠道進行遠端連線。 - 不要打開任何可疑電郵內的連結或附件。
- 確保電腦已有基本保護,包括啟用及執行視窗更新、安裝已有最新病毒資料庫的防毒軟件及啟用視窗防火牆。
第三方如供應商,
- 若需要為客戶提供遠端管理,主動提醒客戶對其遠端桌面服務採取適當的保安限制。
- 對需要接駁客戶網絡的電腦進行保安鞏固。
漏洞識別碼
- 暫無 CVE 可提供
相關連結
分享至