KeyPass勒索病毒新变种来袭,景云杀毒提供全套解决方案

原标题:KeyPass勒索病毒新变种来袭,景云杀毒提供全套解决方案

近日,“KeyPass”勒索病毒又双叒叕爆发出了新变种,对用户来说,“勒索病毒”可谓是一个地地道道的磨人小妖精。

传播模式

首先,“keyPass”勒索病毒通过伪造软件破解工具或恶意捆绑的方式进行传播,更甚之它还会伪装成windows升级更新达到加密目的,只要用户打开被感染的文档文件就会被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。

加密方案

这次“KeyPass”的勒索病毒变种一旦有用户中招,勒索病毒就会发起请求,并通过已经下载的病毒木马进行命令执行。但在此之前病毒还未开始真正加密,当获取了本地MAC地址之后,病毒才真正开始对用户文件进行加密,主要通过三个分工明确的步骤对文件加密创造条件,分别是1.exe主要执行powershell脚本以尝试关闭Windows Defender的实时防护功能;2.exe主要修改系统hosts文件,将大部分安全类网站域名屏蔽;3.exe的下载地址已经失效,而updatewin.exe则是一个伪装windows升级更新界面的勒索病毒,它会用伪造更新进度条且无法点击关闭的方式,为加密本地文件争取时间。

加密表现

获取本地MAC地址,一般是从一个指定网址获取随机密钥以及与其配对的ID标识,然后使用该密钥对中招用户电脑中的文件进行加密。被加密后的文档末尾会填充一段字符“{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}”。KeyPass可从受感染的计算机本地驱动器和网络共享进行枚举,并搜索所有文件,无论其扩展名是什么,它会跳过位于多个目录中的文件,这些目录的路径将被硬编码到样例中。

每个加密文件都会被添加一个额外的扩展名:updatewin.exe。被控制后可以通过界面修改如下内容:加密文件的Key、勒索信息提示文件名、勒索提示信息、用户个人id、添加的文件后缀、加密时跳过的文件夹等。针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业也需要加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,以应对勒索病毒威胁,在此景云防病毒实验室给各位管理员一些建议:

多台机器,不要使用相同的账号和口令。

登录口令要有足够的长度和复杂性,并定期更换登录口令。

重要资料的共享文件夹应设置访问权限控制,并进行定期备份。

定期检测系统和软件中的安全漏洞,及时打上补丁

除此之外,还可使用景云防病毒实验室研发的景云网络防病毒系统企业版,它为用户提供全套解决方案:

景云反勒索防护系统具备文件保护、实时防护、智能备份的能力,该系统提供的解决方案,并非常规的修复漏洞或封堵端口等应急办法,而是通过对勒索病毒本身行为特征进行深度分析,通过景云多步行为序列分析引擎,实现勒索病毒的事前防御、事中监控拦截、事后恢复全套的闭环的三重纵深防护,能够有效防御勒索病毒,最大限度保护用户文档。同时,景云反勒索防护系统具备强大的动态查杀能力,如勒索病毒存在变种,去掉自身特征绕过病毒检测,景云则会通过对进程的行为监控和网络监控来鉴别勒索病毒。另外,通过景云APT威胁感知系统,实时抓取互联网威胁事态最新动向,当威胁发生时能够快速响应,提供应激策略和解决方案。

· 事前防御:景云反勒索防护系统提供文件保险箱功能。用户可选择指定文件、文件夹、文件扩展名(如文档、表格、图片、PDF等)放入或移出文件保险箱,防止被任何威胁程序恶意移动、篡改、复制、删除或加密,使用户文档永远处于被保护状态,即使在病毒肆虐的情况下仍可保障其内部数据不受破坏。同时,配合景云杀毒实时监控系统在病毒文件落地时进行监控,通过景云杀毒多引擎结合扫描在病毒落地时主动出击拦截并清除,达到事前有效防御勒索病毒的效果;

· 事中监控拦截:景云反勒索实时防护引擎,基于对进程多步行为序列的分析,对进程本地及网络行为进行监控,智能鉴别出勒索病毒的典型行为特征,在运行初期检出病毒并查杀,阻止或减少勒索病毒对系统的破坏,最大程度保护用户文件;也可添加实时防护进程白名单,减少误报;

· 事后恢复:用户可设置备份文件的格式、文件大小、备份路径、恢复路径及自动清除时间等信息。当设置备份的重要文件出现被篡改情况时,景云会第一时间将文件自动备份在隔离区保护起来,用户可随时进行恢复,作为感染勒索病毒事后补救的重要措施。

景云反勒索防护系统能够实现勒索病毒事前、事中、事后全生命周期的监控和防护,结合景云深网动态威胁感知系统,实时监控互联网威胁事件,及时推送最新消息,在威胁发生时能够快速响应,为用户提供全方位威胁预警,使用户在威胁来临之前完善自己的防护体系,有效抵抗各种未知威胁,保障企业用户信息安全。

景云杀毒应用了人工智能启发式病毒查杀技术,能够模拟人脑的对未知事物的处理方式,可以让计算机像人类一样具备学习能力和推理能力,帮助用户准确判断未知病毒,以有效应对互联网层出不穷的新风险。目前,景云人工智能启发式引擎Matrix已针对最新爆发的Wannacry、ONION等勒索病毒样本进行学习,可扫描查杀此类病毒及其变种。

同时,景云杀毒基于深度学习的MAD(Multi-step active defense)多步行为判断的主动防御技术,能够根据勒索病毒样本一系列的行为特征来进行综合的风险判定,比传统的根据简单的单步行为规则来做监控的主防技术捕获风险能力更强,能够主动防御并有效拦截未知病毒。不仅如此,景云杀毒还拥有持久的查杀效果。基于人工智能反病毒技术对样本行为判定的特性,即便一个月不升级病毒库,景云杀毒仍然能够识别各种未知勒索病毒,检出率也不会下降,检出能力半衰期长达半年之久。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
免费获取
今日搜狐热点
今日推荐