400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

勒索病毒持续高发 企业用户如何警惕弱口令防护短板

  • 作者:火绒安全

  • 发布时间:2020-06-02

  • 阅读量:6106

近期火绒安全团队发现,弱口令、密码复用率高、密码泄漏等,成为企业频繁遭遇远程攻击的重要原因。黑客一边通过暴破、非法购买登录口令等方式进入企业网络,一边通过黑客工具进行渗透散播勒索病毒,加密重要数据、文件,索要赎金。该现象与我们去年发布的报告《2019勒索事件回顾:RDP弱口令渗透愈演愈烈》内容结论相契合,火绒工程师提醒广大企业用户,时刻保持高度安全警惕性,切实加强网络防御措施。

就在近日,某IT企业向火绒求助,称数台服务器遭遇勒索病毒攻击,导致文件被加密。火绒工程师远程查看后发现,该企业服务器由于存在弱口令、密码复用率高等现象,导致频繁被轻易远程入侵,并被植入勒索病毒。

1.png

 

根据火绒工程师溯源分析,该企业于418日前因弱口令被远程暴破入侵过。426日后,该企业在部分服务器上部署了火绒企业版,并在其中一台服务器上扫描出病毒(黑客渗透工具)。但未引起企业管理员更多的注意,在清除病毒后没有及时采取其它安全措施,包括全网查杀、开启火绒“终端动态认证”功能等。

随后,黑客在517日再次成功入侵该服务器,并卸载火绒继续进行渗透攻击。因为该企业终端密码复用率高,导致黑客通过该服务器轻易就暴破入侵其它未部署火绒的服务器,并植入勒索病毒加密其中的文件。

2.png

图:黑客两次远程入侵过程

根据现场发现的勒索信息来看确认为“Phobos”勒索病毒。目前,该勒索病毒与被发现的黑客渗透工具均可以被火绒拦截查杀,但被勒索病毒加密的文件在没有密钥的情况下,依旧无法解密。

对此,火绒工程师建议广大企业用户,对于终端特别是重要服务器,一定要设置超15位数字、随机组合的高强度密码,且不要重复使用,并定期更改。对于连接外网的服务器,如无业务需求,可关闭3389445443等高危端口。

对于已经部署火绒企业版的用户,可以:

 

1、开启“远程登录防护”功能。可禁止其它陌生设备在不当获取正确的服务器账户密码后,进行远程连接操作;对添加信任的“白名单”IP则放行,不影响正常工作。

https://www.huorong.cn/info/1574318660394.html

 

2、开启“终端动态认证”功能。通过登录服务器时进行二次验证的方式,阻止终端遭遇密码泄露、弱口令暴破、撞库等黑客破解行为带来的危害。

https://www.huorong.cn/info/1582608651429.html

 

3、使用火绒“远程桌面”功能。可在关闭3389等远程端口后,进行安全远程办公。

https://www.huorong.cn/info/1543372551169.html

 

4、获取火绒专业的线上服务。发现企业网络有异常情况,可随时联系我们的工程师,获得专业的安全排查,及时发现问题,做到防患于未然。

 

 

 

 

安全无忧,一键开启

全面提升您的系统防护