勒索病毒CryptON新变种攻击政企单位 火绒成功破解密钥
-
作者:火绒安全
-
发布时间:2019-06-10
-
阅读量:5958
近期,火绒安全团队成功破解勒索病毒CryptON新变种的密钥,帮助某企业用户恢复被加密的文件。目前,该病毒正在持续传播中,请广大政企单位做好防范,如果发现中毒,请及时使用火绒产品查杀病毒(火绒的静态启发模型在2017年就可以识别CryptON病毒及其变种),并使用火绒提供的解密工具恢复被加密文件。
这是第4个被火绒成功破解密钥的勒索病毒,其他大部分勒索病毒不可解密,因此必须提前防御,不能存在侥幸心理。
解密工具下载地址:http://bbs.huorong.cn/thread-59279-1-1.html
6月6日,某制造业企业向火绒紧急求助,称遭遇勒索病毒攻击,重要文件被加密锁死。火绒安全团队分析后确认,该病毒为CryptON新变种,通过弱口令暴破+远程控制的方式入侵电脑(关于远程防护,火绒有着成熟的解决方案,详情可查阅《火绒安全警报: "黑客入侵+勒索"恶性事件日增 狙杀式攻击政企单位》)。
病毒进入电脑后,加密除系统文件外所有类型文件,被加密的文件后缀名变为“firex3m”,并留下勒索信息和邮箱,要求用户支付赎金获得密钥。
火绒工程师解释,此次解密的勒索病毒与之前破解的多款勒索病毒(“微信支付”和“Aurora” 勒索病毒)相同,都是由于病毒开始勒索前,在本地留下加密、解密的相关数据,根据这些数据成功提取到了密钥。
目前, "火绒产品"(企业版、个人版)均可拦截查杀该勒索病毒。但近期该病毒有大范围活跃的迹象,有友商也发现该病毒出现的案例。火绒团队提醒广大政企单位注意防范,如果感染该病毒,可随时联系火绒获得解密工具。
火绒安全团队建议政企用户:
1、在业务允许的情况下关闭常见危险端口,例如远程端口3389等,如果业务有远程需求,可使用"火绒企业版"的"远程桌面"功能。
2、采用高强度的密码,及时打补丁修复漏洞,并对重要文件和数据定期备份。