节假日发生勒索事件已经听说过好几例了,昨天有朋友公司中了mallox勒索病毒,被入侵时间是6月8号,节假日第一天。
由于系统日志已经被清除,只能根据残留线索推测,应该是黑客团伙半夜开始入侵,进入后判断了是否值得勒索,然后清除主机日志,防火墙设备日志,执行powershell连接远程地址,不过被杀毒软件阻断,入侵者用了一个小时时间分析原因并干掉了那个杀毒软件,投放执行勒索软件,由此推测入侵团伙不太象是国内的。期间是否有传输数据出去已经不可定性,不过可以尝试使用某类工具查看人为操作的文件访问记录取证。
由于没有拿到入侵样本,笔者找了最新的mallox勒索病毒进行分析,这些语种会被勒索跳过。
避免被流行勒索软件勒索,建议将系统语言改成俄语,并修改注册表权限,虽然有点窝囊,但总比被勒索强些,基本不影响服务器使用,如果后面不管用了就多改几处和区域语言相关的选项。
这年头过节时期容易犯黑客病,节假日无人值守期间最好将无用的设备关闭,避免系统被入侵。
Yara
rule RansomWare_Mallox_Win{meta:description = "Mallox group"author = "virk"thread_level = 10in_the_wild = truestrings:$a = {53 00 65 00 54 00 61 00 6B 00 65 00 4F 00 77 00 6E 00 65 00}$b = {81 FA 00 10 00 00 72 ?? 56 8B 71 FC 83 C2 23 2B CE 8D 41 FC 83 F8 1F 77}$c = {19 04 00 00}condition:(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and ($b or $c) and $a}
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...