服务器防护_上海云盾王晓旭简历_无限

服务器防护_上海云盾王晓旭简历_无限

今年9月,我们的研究小组开始跟踪和观察一个最近被确认为MedusaLocker的勒索软件家族。这个特别的勒索软件家族有一些独特的功能,旨在确保它能够加密尽可能多的数据,不仅是在本地受感染的机器上,而且通过网络。MedusaLocker强制连接到远程(映射)驱动器的能力及其持久性机制尤其成问题。在这篇文章中,我们来看看MedusaLocker是如何工作的,以及它与最近其他勒索软件的不同之处。MedusaLocker的交付遵循一个相当标准和既定的模式。当前数据表明,恶意负载是通过网络钓鱼和垃圾邮件传播的。我们分析的示例显示,恶意软件直接附加在电子邮件中,而不是包含指向恶意站点的链接。MedusaLocker旨在加密所有远程驱动器在最初执行威胁后,MedusaLocker将采取措施确保其能够访问和感染远程和相邻主机。恶意软件将检查HKEY U LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Policies\System注册表项下的"EnableLinkedConnections"值。如有必要,威胁会将此值设置为"1"这可确保映射的网络驱动器可被用于加密和/或传播的威胁访问作为此过程的一部分,恶意软件甚至会重新启动LanmanWorkstation服务。此服务负责创建和维护通过SMB协议到远程服务器的客户端网络连接。如果此服务停止,这些连接将不可用。如果此服务被禁用,依赖它的其他服务将无法启动。通过重新启动工作站服务,MedusaLocker强制任何相关配置更改生效。MedusaLocker绕过了传统的安全产品从那里,不限流量高防cdn加速,威胁将试图终止多个安全产品的进程。这些恶意软件针对几十个运行中的可执行文件,包括属于G Data、奇虎360和赛门铁克安全产品的可执行文件。此外,MedusaLocker杀掉了更多通用产品,包括mssql、apachetomcat和VMware,ccddos完美防御,这些产品通常被恶意软件研究人员用来进行分析和逆向工程另请参阅:5种绕过传统AV的常见网络安全威胁 MedusaLocker还试图终止属于会计软件包Intuit QuickBooks的几个进程。这样可以确保任何包含有价值的财务数据的打开文件不会被软件锁定,从而防止勒索软件对其进行加密目标可执行文件的完整列表如下:MedusaLocker勒索软件如何加密受害者的文件使用aes256实现加密,并且随后通过RSA-2048公钥对所述AES密钥进行加密。公钥嵌入在恶意可执行文件本身中。我们分析过的示例都使用.encrypted扩展名来处理已加密的文件。虽然许多勒索软件都专注于针对特定的文件扩展名,内网ddos怎么防御,但MedusaLocker的一个显著特点是它采用了相反的方法,在加密过程中有效地将一些硬编码的文件扩展名白名单。勒索软件会忽略扩展名为.encrypted的文件,以避免文件已经被加密。这是必需的,因为恶意软件设置自己以重复的间隔运行,检查新的项目来加密(更多关于这进一步下去)。 还有一些其他扩展名正在使用,这些扩展名也包含在排除列表中。除了加密的扩展名外,MedusaLocker还将使用并避免以下扩展名:.纽洛克.skynet公司.n锁定器.轰炸机.breakingbad公司.储物柜16 在初始执行后,威胁将休眠60秒的硬编码间隔。然后,它将重复其过程,试图找到更多要加密的文件。此外,该威胁会创建一个计划任务来确保持久性,该任务每隔15或30分钟运行一次(任务间隔可能因不同的示例而异)跳过已经加密的文件的能力(通过检查扩展名)使这个过程更有效。MedusaLocker还可以避免对选定的"关键"文件类型和驱动器位置进行加密。其中包括:MedusaLocker勒索软件要多少钱?一旦主加密过程完成,MedusaLocker将存放一个HOW-tu-TO-urecover_数据.html包含加密文件的每个文件夹中的文件。勒索软件记录中没有关于受害者将要支付多少钱的信息。这表明犯罪分子会根据他们对受害人经济能力的评估而采用可变定价。这是一个模型,cdn高防waf,我们已经看到其他勒索软件,如矩阵勒索软件使用另请参阅:勒索软件攻击:支付还是不支付?让我们讨论一下 受害者需要通过电子邮件联系购买解密器,希望他们能恢复自己的档案。也就是说,受害者不必尝试导航到基于.onion TOR的支付门户,智能dns防御ddos,而是盲目地向攻击者发送消息,等待关于如何获取恢复数据所需信息的指示的回复截至本文撰写之时,我们还不知道有任何用于MedusaLocker的公开解密程序MedusaLocker在禁止任何类型的"手动"恢复(例如:本地备份、VSS/卷影副本)方面也相当激进。威胁采取多个步骤阻止受害者执行标准恢复步骤。其中包括删除卷影副本、删除本地备份(通过wbadmin)以及禁用启动恢复选项(通过bcdedit)。如何防范MedusaLocker勒索软件?MedusaLocker经过专门编码,以确保在本地和远程采集到最大数量的数据,并防止受害者采取除支付赎金以外的任何恢复步骤SentinelOne客户可以完全避免与MedusaLocker勒索软件相关的恶意软件有效负载,如下面的视频所示。结论MedusaLocker是另一个每日提醒,勒索软件仍然是一个严重关注的所有环境大小。或许鉴于一些受害者选择不付款,并寻求其他恢复手段,威胁行为体正变得越来越咄咄逼人。与以往一样,除了利用现代化和功能强大的端点安全解决方案外,还应确保您已经充分测试和演练了业务连续性和灾难恢复(BCP/DRP)计划和过程。SentinelOne可防止恶意软件有效负载(如MedusaLocker、Ryuk和其他恶意软件)对目标系统造成严重破坏,还可以通过将受感染的系统回滚到健康状态来解密所有文件美国医疗保险公司MedusaLocker样品dde3c98b6a370fb8d1785f3134a76cb465cd663db20dffe011da57a4de37aa950432b4ad0f978dd765ac366f768108b78624dab8704e119181a746115c2bef75D6223B02155D8A84BF1B31ED463092A8D0E3CDB5D15A72B5638E69B67C05B7f31b9f121c6c4fadaa44b804ec2a891c71b20439d043ea789b77873fa3ab0abbDB11260B9EFF22F397C4EB6E2F50D02545DBB7440046C6F12DBC668E0F32D57CE斜接ATT&CK TTPT1486数据加密以防影响T1105远程文件拷贝T1018远程系统发现T1112修改注册表T1053计划任务T1063安全软件发现像这篇文章?在LinkedIn、Twitter、YouTube或Facebook上关注我们,查看我们发布的内容。阅读有关网络安全的更多信息什么是僵尸网络?(为什么它们很危险?)macOS红队:欺骗特权助手(和其他人)以获得根目录深入|一个指南逆转烟雾装载机恶意软件建立你自己的勒索软件(projectroot)|在敌后第2部分教育部门与网络犯罪日益严重的威胁YARA寻找代码重用:DoppelPaymer勒索软件和Dridex家族权限提升| macOS恶意软件和根目录路径第2部分

热门推荐
  • 美国高防_卸载阿里云盾_3天试用

      巴黎的圣母院大教堂着火了,几乎没有从彻底的破坏中得救。每年有数以百万计的人来访,数以亿计的人感到与之有着强烈的......

    09-15    来源:长虹华伟

    分享
  • 服务器高防_海外高防服务器价格_限时优

      Fraudsters are launching phishing attacks that exploit strong customer authentication (SCA) to steal users’ banking credentials.Which? reported on a series of ......

    09-28    来源:长虹华伟

    分享
  • ddos高防_字修己_精准

      微软最近宣布向Box、Dropbox和Google的G Suite客户提供一项新的服务,以使用其OneDrive云存储服务。对于已经在使用这三种竞争产......

    02-22    来源:长虹华伟

    分享
  • 香港高防cdn_上海云盾王晓旭简历_怎么办

      MS051是微软2011年5月13号办公电脑的最重要漏洞。这个问题是有限的,有针对性的利用,微软没有把它标记为"关键"问题的唯一......

    03-01    来源:长虹华伟

    分享
  • ddos怎么防_高防ip价格_无缝切换

      如果你还没有意识到,Rapid7提供了一个悬赏,用于针对一堆手工选择的修补漏洞的漏洞进行攻击。有两个列表可供选择,前......

    03-02    来源:长虹华伟

    分享
  • ddos防御工具_ddos防火墙需要开启吗_怎么办

      贝奥武夫战车是该公司BvS10战车的一个非装甲变种,旨在成为受人尊敬的BV206s的继承者,该战车由美国阿拉斯加陆军、美国海......

    03-03    来源:长虹华伟

    分享
  • 网站安全防护_厦门美科安防工资高吗_如

      在攻击发生三周后,WannaCry仍然是全球infosec专业人士的首选。这在我有幸参加的本周的亚特兰大安全世界大会上非常明显。多......

    03-05    来源:长虹华伟

    分享
  • 高防_ddos攻击原理与防御方法_原理

      DDoS攻击通常按所涉及的带宽大小进行排名,例如2018年GitHub攻击的峰值为每秒1.35兆比特,通常被认为是有史以来最大的DDoS攻......

    03-15    来源:长虹华伟

    分享
  • 防御ddos_高防包_新用户优惠

      我想和大家分享一下,当你控制了整个堆栈时,构建零信任环境和可信应用程序环境的独特优势。让我们来讨论在一个严格控......

    03-19    来源:长虹华伟

    分享
  • 高防cdn_高防_怎么办

      Qualys今天第五次宣布,在Gartner的“脆弱性评估市场范围”(MarketScope for Vulnerability Assessment)中,该公司第五次获得了可能的......

    03-24    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。