打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

利用财务软件进行勒索攻击,亚信安全已支持检测拦截
发布时间 :2022年08月31日
分享:

漏洞描述

近日,国家信息安全漏洞共享平台(CNVD)收录了利用某财务公司任意文件上传漏洞被勒索攻击的信息。亚信安全经过对公开的IOC和相关案例进行研究分析,目前已支持检测并拦截上述勒索攻击。


亚信安全产品解决方案

亚信安全云病毒码版本17.781.71已经可以检测,请用户及时升级病毒码版本:


2-1.png


  • 梦蝶云病毒码已经能够查杀,检测名Malware.Common.Agent:


2-2.png



  • 亚信安全云病毒码版本17.781.71已经可以检测,请用户及时升级病毒码版本:https://console.box.lenovo.com/l/u1Fe3g

  • TDA 7.0以上版本防护规则如下:

→ NGIDS 146及之前的版本可通过规则 103031000 调用通用集合函数的序列化Java对象进行检测;

→ NGIDS 147新增规则 103044192 

  • DS自定义规则支持检测,自定义规则可与技术支持人员联系。


安全建议

  • 全面部署安全产品,保持相关组件及时更新;

  • 不要点击来源不明的邮件、附件以及邮件中包含的链接;

  • 请到正规网站下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口及网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


病毒详细分析

样本作为aspx页面的后台处理组件存在,对来自前端的请求进行解析。下图中可知,处理逻辑会对http请求进行解析,并对特定内容解密后使用Assembly进行加载,并创建实例运行(运行的内容为勒索病毒)。


2-3.png


勒索信截图


2-4.png

分享到微信
X