近期公布的台积电第三季度财报显示,受八月份的勒索病毒感染事件影响,公司约损失25.96亿新台币(约人民币5.84亿元),巨大的代价使勒索病毒所引发的安全防护话题再次成为各大企业、安全厂商热议的焦点。而日前,腾讯安全御见威胁情报中心监测到一款新型勒索病毒DATAWAIT出现,造成了多起攻击事件。经过详细分析,目前腾讯安全技术专家已率先完成对该病毒的解密工作,并提醒广大用户加强防范。
勒索病毒DATAWAIT首次出现于11月中旬,部分用户在电脑感染病毒后,无奈向安全论坛寻求帮助。不同于其他类型的勒索病毒,该病毒入侵成功后,会自动静默安装经破解修改的TeamViewer的压缩包文件,导致企业电脑被黑客远程控制,可能造成企业信息泄露。同时,一旦用户电脑被远程控制,将会暴露存储的重要文件信息,对企业用户的文档安全造成巨大威胁。
(图:多名网友在论坛求助称电脑文件被加密)
经过分析发现,该病毒主程序通过在内存中装载真正的恶意模块、外壳部分使用代码混淆,对抗安全软件的静态查杀。为了阻止用户访问安全厂商网站“求救”,电脑Host文件被该病毒重定向,导致一些网页无法正常访问。
为了成功加密用户文档实施勒索,勒索病毒DATAWAIT可谓“煞费苦心”。不仅禁用任务管理器、禁用Windows Defender开机启动,防止受害者通过进程查看发觉异常、令电脑失去保护,该病毒还伪装系统正处于补丁更新状态,借此掩饰加密文件过程造成的电脑卡顿现象,以免用户发现异常。令人哭笑不得的是,DATAWAIT勒索说明文档还显示,72小时内联系病毒作者将获得50%费用减免。
(图:勒索病毒DATAWAIT伪装成Windows自动更新)
近年来,勒索病毒对企业及公共机构网络安全造成严重威胁,其利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。对此,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议广大企业网管,尽量关闭不必要的端口和文件共享,对于没有联网需求的服务器/工作站内部访问设置相应控制;采用高强度的密码并定期更换,同时对重要文件和数据进行定期非本地备份;推荐使用腾讯安全御点终端安全管理系统,通过终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,全面了解、管理企业内网安全状况。
(图:腾讯电脑管家查杀该病毒)
对于普通个人用户,马劲松建议开启并实时运行腾讯电脑管家等主流安全软件加强防护。目前,腾讯电脑管家工具箱中的文档守护者功能,可以利用磁盘冗余空间备份数据文件,在文件被勒索病毒破坏的紧急情况下,有助于帮助快速恢复文档,最大限度减少用户损失。