事件背景
8月29日,江民反病毒监测中心监测到一起恶意勒索攻击 ,疑似利用国内头部erp厂商软件系统进行传播,预估国内来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨,该攻击存在于未做必要安全防护或使用windows2016 iis10.0以下版本的服务器,被病毒攻击之后,文件被锁无法打开。经江民反病毒实验室追踪并分析样本,确认为利用0day漏洞上传恶意文件造成投毒,病毒利用webshell反射式加载执行加密的恶意代码。
漏洞概述
目前,官方目前还没有发布针对于该漏洞的补丁。
样本分析
恶意loader文件通过漏洞上传至服务器,用户更新之后会自动运行该恶意模块,导致勒索发生。loader使用webshell反射加载执行加密的恶意代码,勒索文件直接将在内存当中运行,加密文件之后,向用户勒索0.2个比特币(相当于27439元人民币)的“赎金”。
江民安全研究人员溯源追踪, 在用户机器生成勒索信,发现此勒索与tellyouthepass家族存在相似之处,应具有一定关联。
江民杀毒软件各版本均可查杀该loader病毒文件。
pg电子官方网站的解决方案
1). 对重要数据的文件进行磁盘备份。
2). 对系统或者软件进行及时更新打补丁。
3). 定时对机器进行全盘查杀。
4). 安装江民杀毒客户端进行实时防护。
江民安全专家建议:对于已经中毒的用户,首先必须切断被加密机器的网络,保存现场环境,避免重启、重装、格式化等操作。通过windows日志和事件来进行溯源排查,对其他关键服务器进行加急备份,排查是否存在被攻击现象。关注权威新闻,等待官方补丁通知并及时更新。