【紧急预警】疑似某厂商企业软件正遭受.locked勒索病毒攻击

事件概况

自2022年08月28日起，美创科技应急中心接到大量客户反馈，客户计算机文件被.locked后缀的勒索病毒加密，主要影响某厂商企业财务软件所在的服务器。疑似该厂商企业财务软件存在0day漏洞被攻击者进行批量利用。美创科技应急中心建议广大用户做好资产自查以及勒索病毒预防工作，以免遭受黑客攻击。

在被.locked勒索病毒加密后，会在目录中放置read_me.html文件，并将加密的文件添加.locked后缀。

其中read_me.html文件会提供攻击者的联系方式以及比特币账号用于接收赎金。

防御措施

面对严峻的勒索病毒威胁态势，美创科技应急中心提醒广大用户注意以下日常防范措施，防患于未然，把危险扼杀在源头：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。

⑨　部署美创数据库防火墙，可专门针对RushQL数据库勒索病毒进行防护。

⑩　安装诺亚防勒索软件，防御未知勒索病毒。

诺亚防勒索防护能力介绍

为了更好地应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：

在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加统一的异常后缀，并且无法正常打开。

开启诺亚防勒索的情况下：

双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：

为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何已知或未知勒索病毒的执行。