近日,互联网上出现一种 Sigrun 勒索病毒,其通过垃 圾邮件、网站捆绑软件等方式进行传播。该病毒一旦植入到 用户的服务器,将把系统文件加密为.sigrun 的文件,进而 向受害者勒索虚拟货币。该新型 Sigrun 勒索病毒采用 RSA1024 加密算法,目前无法解密。
请各部门注意防范,不点击来源不明的邮件以及附件,并对本地文件进行非本地备份。
病毒介绍
Sigrun 勒索病毒为一个新型的勒索病毒家族,时间戳为:2018 年 5 月 18 日。经第三方机构分析,该勒索软件首 先对操作系统的输入法进行识别,对俄罗斯输入法的操作系统将不进行加密攻击,如果是其他输入法的操作系统,则进行文件加密并实施勒索。
影响范围
开启了445 端口SMB 网络共享协议,开启局域网共享文 件功能,开启 RDP 3389 端口且存在弱口令安全隐患的 Windows 系统(包括个人版和服务器版)。
排查方案
1.检查系统是否打上了最近系统漏洞补丁包;
2.检查系统是否开启了445 端口的 SMB 网络共享协议,或者不必要的共享端口;
3.检查系统是否存在.sigrun 后缀文件。
处置方案
1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;
2.切断传播途径:关闭SMB 445 等网络共享端口,关闭异常的外联访问;
3.查找攻击源:手工抓包分析或借助态势感知类产品分析;
4. 查杀病毒:可使用以下工具进行查杀(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip);
5.不要点击来源不明的邮件,不从不明网站下载相关的软件;及时对电脑主机进行补丁升级,修复漏洞;对重要的数据文件定期进行非本地备份;安装专业的终端或服务器安全防护软件;
6.修改密码:主机账号密码重置为高强度的密码。
应急处置建议
同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危害;
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。