近日,多家企业中勒索病毒的消息在安全业界激起千层浪,引发了广泛的社会关注。360安全大脑监测到这款新型勒索病毒名为RoBaj,使用C#编写,通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。该病毒不仅提供中文勒索信息,自身还被蠕虫感染,具有蠕虫功能,让受害者面临的威胁与损失加倍扩大。360目前已完成对该病毒的破解,中招的企业用户可以联系360进行解密。
据悉,该病毒使用典型的勒索攻击方式,首先投放横移工具,如Netpass64.exe、Windows密码破解器等,之后开始进一步横向渗透,扩大攻击范围。当病毒RoBaj-S.exe被触发执行后,会释放使用的资源文件;释放必要的文件后,程序会以"Zx "参数启动之前释放在Public Docker目录下的system32.exe加密程序,其目的是为了绕过一些分析沙箱的自动检测。再之后,病毒会执行Files目录下的off-task.exe程序,通过修改注册表来禁用一系列系统的安全管理及防护功能,并将自身添加为开机启动项,以此来保证下次开机能继续运行。
值得注意的是,该勒索病毒的开发者环境似乎被Neshta蠕虫感染,所以中招用户发现被RoBaj攻击后,除了需对勒索病毒展开排查和清理外,还需检查是否被Neshta蠕虫所感染。
面对此类勒索病毒威胁,360安全大脑给出如下安全建议:
1、企业用户可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全。
2、安装后确保开启安全软件,保证其对设备的安全防护。
3、遇到安全软件报毒的程序,不要轻易添加信任或退出安全软件。
360终端安全管理系统是以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。在360安全大脑的极智赋能下,360终端安全管理系统可对RoBaj等病毒威胁做出有效处理。
如果企业用户已经遭遇勒索病毒又无法解决,可以前往https://360.net/或通过400-0309-360联系360安全专家,获取帮助。