News新聞中心
政策法規 熱點信息 公司新聞 活動預告

企業單位如何防護勒索病毒持續高發情況?

TIME:2020-06-11 ? click: 65 次

近期火絨安全團隊發現,弱口令、密碼復用率高、密碼泄漏等,成為企業頻繁遭遇遠程攻擊的重要原因。黑客一邊通過暴破、非法購買登錄口令等方式進入企業網絡,一邊通過黑客工具進行滲透散播勒索病毒,加密重要數據、文件,索要贖金。該現象與我們去年發布的報告《2019勒索事件回顧:RDP弱口令滲透愈演愈烈》內容結論相契合,火絨工程師提醒廣大企業用戶,時刻保持高度安全警惕性,切實加強網絡防御措施。

就在近日,某IT企業向火絨求助,稱數臺服務器遭遇勒索病毒攻擊,導致文件被加密。火絨工程師遠程查看后發現,該企業服務器由于存在弱口令、密碼復用率高等現象,導致頻繁被輕易遠程入侵,并被植入勒索病毒。

根據火絨工程師溯源分析,該企業于4月18日前因弱口令被遠程暴破入侵過。4月26日后,該企業在部分服務器上部署了火絨企業版,并在其中一臺服務器上掃描出病毒(黑客滲透工具)。但未引起企業管理員更多的注意,在清除病毒后沒有及時采取其它安全措施,包括加強口令強度、全網查殺病毒,以及開啟火絨“終端動態認證”等相關防護功能。這也為企業遭遇后續攻擊帶來潛在風險。

5月17日,有黑客利用此前暴破所獲得的密碼再次成功登錄該服務器,并卸載火絨繼續進行滲透攻擊。因為該企業終端密碼復用率高,導致黑客通過該服務器輕易就暴破入侵其它未部署火絨的服務器,并植入勒索病毒加密其中的文件。


圖:黑客兩次遠程入侵過程

根據現場發現的勒索信息來看確認為“Phobos”勒索病毒。目前,該勒索病毒與被發現的黑客滲透工具均可以被火絨攔截查殺,但被勒索病毒加密的文件在沒有密鑰的情況下,依舊無法解密。

隨后,火絨工程師指導該企業管理員進行全網查殺病毒,清除可疑程序,并及時開啟“遠程登錄防護”與“終端動態認證”功能。“遠程登錄防護”功能可直接禁止白名單外的陌生終端遠程連接,“終端動態認證”功能則可以通過二次驗證的方式,阻止黑客通過暴破、撞庫等手段惡意獲取用戶密碼進行遠程登錄的行為。截至到目前,該企業再未出現被遠程入侵并植入病毒的情況。

對此,火絨工程師建議廣大企業用戶,對于終端特別是重要服務器,一定要設置超15位數字、隨機組合的高強度密碼,且不要重復使用,并定期更改。此外,還可以全網部署可靠的安全軟件,開啟相關的遠程防護功能。管理人員一旦發現可疑的情況,務必要及時聯系安全廠商進行專業的排查,避免出現后續攻擊。

附:關于火絨“遠程登錄防護”和“終端動態認證”功能詳細介紹
1、火絨產品公告——新增“遠程登錄保護”功能 阻止黑客遠程控制
2、火絨產品公告——企業版推出“終端動態認證”功能 阻止RDP弱口令滲透

世界赌博城市排名