勒索病毒Clop披合法外衣謀利 騰訊安全提醒企業(yè)用戶注意防御

近期，騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，新型勒索病毒Clop在國內開始逐漸蔓延，某企業(yè)遭攻擊造成大面積感染，致使企業(yè)數(shù)據(jù)被加密。截止目前針對該病毒暫無有效的解密工具。對此，騰訊安全提醒各政府企業(yè)單位網(wǎng)管，務必增強網(wǎng)絡安全意識，建議Web服務器部署在騰訊云等具備專業(yè)安全防護能力的云服務產品。

　　(圖：病毒Clop勒索說明文檔)

與其他勒索病毒不同的是，Clop勒索病毒在部分情況下攜帶有效的數(shù)字簽名，披上合法外衣，具有極強的隱蔽性。據(jù)了解，數(shù)字簽名冒用常見于流氓軟件以及竊密類木馬程序中，類似攻擊事件此前屢有發(fā)生。去年12月，騰訊安全御見威脅情報中心監(jiān)測到“酷玩游戲盒子”等多款軟件被植入Steam盜號木馬,該病毒作者直接盜用合法公司簽名,使其能夠取得系統(tǒng)及殺毒軟件的信任，非法控制用戶電腦謀取私利。而勒索病毒攜帶有效簽名的情況極為少見，不難理解，Clop病毒作者此舉更容易獲取到安全軟件的信任，進而給企業(yè)造成無法逆轉的損失。

　　(圖：Clop勒索病毒攜帶有效數(shù)字簽名)

據(jù)騰訊安全技術專家介紹，Clop勒索病毒第一時間會結束大量文件占用類進程，以保證加密文件過程中避免因文件占用造成加密失敗，然后嘗試以白名單過濾的方式加密本地磁盤和網(wǎng)絡共享目錄文件。值得一提的是，該病毒在加密時，還會通過判斷文件大小來“定制化”地采取不同的加密方式，對每個文件生成文件加密密鑰。加密文件完成后，Clop勒索病毒使用內置的RSA公鑰加密文件密鑰信息后追加到文件末尾，從而讓加密后的文件暫時無法解密。

眾所周知，勒索病毒對當前的網(wǎng)絡安全環(huán)境造成嚴重威脅，源于勒索病毒加密手段復雜，解密成本高，因此日常防御就顯得尤為重要。對此，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)網(wǎng)管，盡量關閉不必要的文件共享和端口，對重要文件和數(shù)據(jù)進行定期非本地備份;采用高強度的密碼，同時對沒有互聯(lián)需求的服務器/工作站內部訪問設置相應控制;推薦全網(wǎng)安裝御點終端安全管理系統(tǒng)，終端殺毒和修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內網(wǎng)安全狀況、保護企業(yè)安全。

　　(圖：騰訊御點終端安全管理系統(tǒng))

此外，馬勁松提醒廣大個人用戶，建議實時開啟騰訊電腦管家等主流安全軟件加強防護。目前，騰訊電腦管家推出的文檔守護者功能，可以利用磁盤冗余空間備份數(shù)據(jù)文件，在文件被勒索病毒破壞的緊急情況下，有助于廣大用戶快速恢復文檔。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。