背景
VirScan关注到有消息称畅捷通T+存在远程代码执行漏洞,且已有黑客利用相关漏洞进行勒索病毒感染攻击。VirScan可检测此类勒索相关文件。
VirScan对于勒索攻击的态势早有预警,2个星期前发布了文章《近期勒索事件频发,企业务必需高度重视》,根据2022年Q3以来的勒索软件检出情况统计,发现勒索攻击同比增加50%,呈高发态势。
检测分析
经分析发现,攻击者成功利用漏洞之后上传后门到受害者服务器,之后通过后门加载执行勒索病毒,加密完成后会留下勒索信。
后门文件信息:
SHA256 | 74c7088500522ef764d1f511bb60abcfa1dc74153e69df76fd62880c73370b6c |
SHA1 | da2ec6d517e9aa05256cc18574f5a6bce732f15d |
MD5 | 45625d6092a287284cd71af690c5c393 |
文件名 | App_Web_load.aspx.cdcab7d2.dll |
文件格式 | PE/DLL |
后门检测结果:
报告链接:https://www.virscan.org/report/74c7088500522ef764d1f511bb60abcfa1dc74153e69df76fd62880c73370b6c
勒索信:
防护建议
目前,官方已发布针对此漏洞的补丁程序,用户可参考以下链接及时更新官方补丁:
官方建议
已中毒用户:
- 本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
- 若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
- 检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份。
未中毒用户:
- 尽快使用安全月活动工具,进行检测加固;
- 使用本地服务器的用户,建议关闭公网访问,内网使用;
- 使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务。
最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘、上传到网盘、多份储存在不同的服务器环境中。
VirScan建议
- 及时关注官方漏洞通告,及时修补漏洞;
- 及时做好数据备份,自动化备份与定期手动全量备份集合;
- 对于服务器上发现的文件进行定期检测,有条件的可做实时检测。关注的文件包含但限于各类可执行文件、压缩包、文档类文件、非资源目录下的图片文件(可能是图片马)、视频文件等等。
- 对于不确定安全性的文件,可以使用VirScan进行检测。VirScan平台集成了47款杀毒引擎,支持任意类型文件的检测。