竣盟科技資安快訊: 根據日前國外知名的資安網站 Malware Hunter Team 惡意軟體獵人團隊發佈的推文,以及其專家的分析,可看出雖然攻擊臺灣企業的惡意軟體是在 5月 4日開始攻擊,但其實他們已經在 5月 3日編譯完成,而在撰寫本文時,僅知在台灣的企業受到影響。
以下為臺灣企業最近收到的勒索信,名稱為: How to Unlock Files.txt
圖一
圖二
圖三
部份資訊已被外媒 Cyberscoop 報導,他們相信有最少 2個惡意程式樣本,另根據分析文章的作者 Amigo-A 表示,已經從事件檢測與回應中,命名此惡意軟體為 LockTaiwan,由於此乃新型勒索惡意軟體,國內尚未有參考資料。
類似 LockTaiwan 這種惡意軟體常與免費的第三方程式捆綁在一起傳播,這些程式一般透過不可靠的網站下載。另外當您打開或點擊帶有惡意程式郵件內容時,病毒也可能會感染到您的電腦上。所以在打開附件或點擊可疑連結之前,使用額外安裝的病毒掃瞄程式檢查是非常重要的。已感染的特洛伊木馬和惡意軟體下載程式,也可能會在您的PC上感染此病毒。瀏覽色情或 P2P種子網站,以及下載破解軟體或遊戲等等,都可能會將這類病毒帶入您的系統。
應對措施
- 由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
- 向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
- 千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
- 針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
- 除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
- 佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
- 對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
- 透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。
以上為竣盟科技您整理出來的資料
資料來源請參考 MalwareHunterTeam on Twitter:
以及完整的分析文件
https://id-ransomware.blogspot.com/2020/05/locktaiwan-ransomware.html
#需要
SIEM記得找竣盟科技唷
#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔
#資安情資請看OTX
#快去follow竣盟科技的粉絲專頁吧^^
*****本文歡迎轉載,但請註明出處。