安全研究 >> 安全研究详情

2500万美元赎金!Conti勒索软件连环袭击美国16个医疗和紧急服务机构

作者: 美创科技安全实验室发布日期: 05月26日

近日,联邦调查局(FBI)发布安全通告指出,Conti勒索软件在过去的一年中,袭击了美国至少16个医疗保健和紧急服务机构,影响了超过400个全球组织,其中290个位于美国。


FBI还表示:


“在部署Conti勒索软件之前,这些攻击者会花费平均四天到三周的时间在受害者的网络中进行观察。并且,赎金数额也是为每个受害者量身定做的,最近的要求高达2500万美元。”


据悉,Conti勒索软件最近还入侵了爱尔兰卫生服务机构(HSE)和卫生部(DoH)的网络。尽管DoH阻止了Conti对其系统进行加密,但HSE并不是那么幸运,它不得不关闭所有IT系统以防止勒索软件通过其网络传播。Conti还要求HSE支付2000万美元的赎金。


面对Conti勒索软件提出的巨额赎金,爱尔兰卫生服务机构(HSE)十分强硬的拒绝了。随后,为了防止个人及医疗敏感数据泄露,爱尔兰高等法院针对Conti勒索犯罪团伙发布了一项禁令,要求其返还盗取的爱尔兰卫生服务机构(HSE)数据,并不得任何形式出售、公布或分享盗取数据。


面对爱尔兰卫生服务机构(HSE)拒绝支付赎金的强硬态度,以及高等法院颁布的专项禁令,Conti勒索软件团伙最终向爱尔兰卫生服务机构(HSE)发布了免费解密程序,但Conti勒索团伙依然警告说,从其网络窃取的700GB数据仍将被泄漏或出售。


01病毒情况


美创安全实验室第一时间拿到相关病毒样本,经virustotal检测,确认为 Conti勒索病毒。




经分析发现,Conti勒索病毒通过钓鱼邮件等方式传播,启动后,通过命令停止与安全性、备份有关的Windows服务,然后通过RSA-4096和32位Hash随机散列的方式对文件进行加密,并删除磁盘卷影副本以防止受害者恢复加密文件。并在桌面上留下勒索信息文件readme.txt,提示受害者如何缴纳赎金获取解密工具,文件信息如下:




02病毒防护建议


面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:


(1)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。


(2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。


(3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。


(4)应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。


(5)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


(6)尽量关闭不必要的文件共享。


(7)提高安全运维人员职业素养,定期进行木马病毒查杀。


(8)部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。


(9)安装诺亚防勒索软件,防御未知勒索病毒


美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。


以下为诺亚防勒索针对Conti勒索病毒的防护效果:


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


✦ 无诺亚防勒索防护的情况下:


在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.TIYSV”加密后缀,并且无法正常打开。


✦ 开启诺亚防勒索的情况下:


查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


✦ 开启堡垒模式的情况下:


为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图