中文
新闻中心
新闻中心 > gandcrab再爆新变种,警惕deepblue变种感染
gandcrab再爆新变种,警惕deepblue变种感染
病毒信息
病毒性质:勒索病毒
影响范围:已有多省份用户受感染,包括但不限于政府、医药、教育等行业
危害等级:高危
传播方式:漏洞利用、rdp暴力破解等方式传播
病毒描述
入侵分析
- 利用confluence漏洞(cve-2019-3396)
- fckeditor编辑器漏洞
- weblogic wls9-async反序列化远程命令执行漏洞
- rdp暴力破解
病毒详细分析
内存中解密出勒索信息文本,生成随机勒索信息文本文件名:[随机数字字符串] [-readme.txt]。
通过cmd.exe执行相应的命令,删除磁盘卷影。
从内存中解密出来的域名列表中,选取一个域名进行url拼接,然后向url发送相应的数据。
凯发登录的解决方案
病毒检测查杀
深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
32位系统下载链接:https://edr.sangfor.com.cn/tool/sfabantibot_x86.7z
使用安全产品查杀木马文件及进程,深信服edr产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
- 及时给电脑打补丁,修补漏洞,修改弱密码。
- 对重要的数据文件定期进行非本地备份。
- 有confluence应用的用户需升级confluence版本,并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。其中版本升级为:
- 有weblogic应用的用户请参考 https://mp.weixin.qq.com/s/flc2ehmiystj5sqj33pjug 修复相关漏洞。
- 深信服下一代防火墙用户建议升级到af805版本,并开启深信服save安全智能检测引擎,以达到最好的防御效果。
- 深信服edr用户建议升级到3.2.8以上版本,病毒库升级到20190507版本,以达到最好的防御效果。
- 使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
下一篇:
第二届数字中国建设峰会说了什么?
联系凯发注册网站