.Lucky字尾勒索病毒資料解密
近日,勒索病毒.lucky加密字尾,是新的勒索病毒變種,其傳播模組複用了Satan的傳播方式,實現了Linux下的自動化傳播,我們將其命名為lucky勒索病毒。
***流程:
傳播模組:
conn與Satan的傳播模組一致,跟Windows版本一樣,主要利用以下漏洞進行***:
1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss預設配置漏洞(CVE-2010-0738)
3.Tomcat任意檔案上傳漏洞(CVE-2017-12615)
4.Tomcat web管理後臺弱口令爆破
5.Weblogic WLS 元件漏洞(CVE-2017-10271)
6.Windows SMB遠端程式碼執行漏洞MS17-010
7.Apache Struts2遠端程式碼執行漏洞S2-045
8.Apache Struts2遠端程式碼執行漏洞S2-057
解決方案
1.隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連線,禁用網絡卡。
2.切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。深信服下一代防火牆使用者,可開啟IPS和僵屍網路功能,進行封堵。
3.查詢***源:手工抓包分析。
4.查殺病毒:推薦使用360衛士或深信服EDR進行查殺。
5.修補漏洞:打上以下漏洞相關補丁,漏洞包括“永恆之藍”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss預設配置漏洞(CVE-2010-0738)、Tomcat任意檔案上傳漏洞(CVE-2017-12615)、Weblogic WLS 元件漏洞(CVE-2017-10271)、apache Struts2遠端程式碼執行漏洞S2-045、Apache Struts2遠端程式碼執行漏洞S2-057。
關於.lucky字尾勒索病毒資料解密,聯絡QQ:1378434584