自2022年08月28日起,美创科技应急中心接到大量客户反馈,客户计算机文件被.locked后缀的勒索病毒加密,主要影响某厂商企业财务软件所在的服务器。疑似该厂商企业财务软件存在0day漏洞被攻击者进行批量利用。美创科技应急中心建议广大用户做好资产自查以及勒索病毒预防工作,以免遭受黑客攻击。
在被.locked勒索病毒加密后,会在目录中放置read_me.html文件,并将加密的文件添加.locked后缀。
其中read_me.html文件会提供攻击者的联系方式以及比特币账号用于接收赎金。
面对严峻的勒索病毒威胁态势,美创科技应急中心提醒广大用户注意以下日常防范措施,防患于未然,把危险扼杀在源头:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
联系客服