跳至主內容

CrySIS/Dharma 的變種 .arena 勒索軟件加密受害者數據

最後更新 2017年10月24日 11:52 發佈日期: 2017年10月24日 3766 觀看次數

風險: 高度風險

類型: 操作系統 - 視窗操作系統

類型: 視窗操作系統

HKCERT 收到數宗有關 Crysis/Dharma 勒索軟件變種的感染報告,主要是透過微軟平台的遠端桌面服務 (RDP) 取得伺服器的控制權。

 

影響

  • 此勒索軟件加密受害者電腦上的檔案及為這些檔案加上 ID、電郵及 .arena 副檔名,即是 [原來的檔案名及副檔名].id-[ID].[電郵].arena。
  • 網絡檔案伺服器上的資料也受影響。
  • 被加密勒索軟件加密的檔案將無法還原。

注意:

由於另一款 CryptoMix 的變種亦會為被加密的檔案加上 .arena 副檔名,所以不要將兩款勒索軟件混淆。要分辨它們,該 CryptoMix 變種會將被加密檔案的名稱改變為隨機的英文及數字字串。而且,它們的勒索訊息內容上是各有不同。


影響

  • 阻斷服務

受影響之系統或技術

  • 微軟視窗

解決方案

一般用戶/公司,

如受感染:

  • 立即停止網絡連線進行隔離,並移除連接到該電腦的儲存裝置。
  • 立即隔離其他電腦及檔案伺服器。最迅速的做法是關閉網絡交換器(network switch)以停止大規模擴散。
  • 未清理惡意軟件前不要開啟任何檔案。
  • 我們不建議繳交贖款。

 

防護措施:

  • 進行離線備份 (即是使用其他儲存裝置,備份後立即移除)。
  • 對遠端桌面服務 (RDP) 套用保安限制:
    - 如非必要,切勿對互聯網開放電腦的遠端桌面服務。
    - 只允許特定的 IP 以存取啟用了遠端桌面服務的電腦。
    - 限制遠端連線的許可時間,例如禁止非辦公時間的連線。
    - 使用最少權限原則來規限可進行遠端連線的帳戶。如非必要,請勿給予管理員權限。
    - 使用複雜的連線密碼及定期更改。
    - 考慮使用 VPN 方案來保護登入程序及連線,配有雙重認證則更好。
    - 如果電腦需要由第三方管理,例如供應商的支援,建議與他們溝通以實施安全的渠道進行遠端連線。
  • 不要打開任何可疑電郵內的連結或附件。
  • 確保電腦已有基本保護,包括啟用及執行視窗更新、安裝已有最新病毒資料庫的防毒軟件及啟用視窗防火牆。

 

第三方如供應商,

  • 若需要為客戶提供遠端管理,主動提醒客戶對其遠端桌面服務採取適當的保安限制。
  • 對需要接駁客戶網絡的電腦進行保安鞏固。

漏洞識別碼

  • 暫無 CVE 可提供

相關連結