安全主题

Samsam 可能意味着针对性勒索软件的新趋势

这种全新的加密勒索软件变体,可能预示着攻击者将目标转向企业,攻击者使用恶意软件加密企业文件。

与勒索软件有关的事件日益增多

美国联邦调查局 (FBI)、美国计算机紧急响应小组 (US-CERT) 和加拿大网络事故响应中心 (CCIRC)  联合发出勒索软件攻击行为持续攀升的警告 。

 

2016 年 2 月, 赛门铁克重点报道了 Locky 勒索软件的兴起,这种软件是当前比较流行的勒索软件变体。过去几个月,一种名为 Samsam 的新变体(也称为 Samas 或 Samsa)凭借其感染系统的针对性方法成为了头条新闻。

网站安全

勒索软件

针对性勒索软件

勒索软件感染系统的常见途径是通过偷渡式下载而传播的恶意下载器以及恶意垃圾电子邮件。用户电脑一旦受到恶意下载器的感染,就会自动下载附带的恶意软件,而这种软件通常包含加密勒索软件。恶意电子邮件包含各种各样的文件附件,打开这些附件后,电脑将下载并运行许多勒索软件变体中的一种,从而启动加密过程。文件加密后,攻击者要求受害者支付赎金以解密文件。

与较常见的勒索软件不同,Samsam 的感染途径并不是偷渡式下载或电子邮件。Samsam 背后的攻击者使用  Jexboss  之类的工具来找到运行红帽 JBoss 企业级产品且未安装补丁的服务器。

在这些攻击者通过利用 JBoss 中的漏洞成功进入这些服务器之后,他们使用其他随手可得的工具和脚本以收集联网计算机上的凭证和信息。接着,攻击者在这些系统上部署勒索软件对文件进行加密,进而向受害者索要赎金。

Samsam 勒索软件和其他勒索软件的不同之处还在于,攻击者自行生成 RSA 密钥对。大多数加密勒索软件会联系一条命令并控制服务器,随后这将生成一个 RSA 密钥对并送回公钥,从而加密被感染计算机上的文件。有了 Samsam 后,攻击者可自行生成密钥对,并将公钥和勒索软件上传至目标计算机。

勒索软件的不断创新

虽然 Samsam 只是数量不断增加的勒索软件变体的一种,但与其他勒索软件变体不同的是,Samsam 可以通过未安装补丁的服务器侧的软件到达预定目标。这里非常重要的一点是,在勒索软件攻击中,犯罪分子们直接瞄准各组织的趋势正日益增加。网络犯罪分子们将目光投向防范薄弱的企业以追求最大利益,而最近这些攻击的得手正是他们开始转移目标的预兆。

实践证明,勒索软件是一种有利可图的商业模式。因此,毋庸置疑,其中所运用的技术已从恶意垃圾电子邮件和偷渡式下载转变为更类似于针对性攻击的技术。

JBoss 的版本

在其环境中使用 JBoss 企业级产品的组织应检查自己是否正在运行未安装补丁的版本,如果是这样的话,应立即安装补丁。红帽公司称, 以下版本和之后版本的 JBoss  没有受到影响:

  • 红帽 JBoss 企业应用平台 (EAP) 5.0.1
  • 红帽 JBoss 企业应用平台 (EAP) 4.3 CP08
  • 红帽 JBoss 企业应用平台 (EAP) 4.2 CP09
  • 红帽 JBoss SOA 平台 (SOA-P) 5.0.1
  • 红帽 JBoss SOA 平台(SOA-P) 4.3 CP03

 

保护
赛门铁克和 Norton 产品进行以下检测以防范 Samsam 及其各种工具:

防病毒:

 

立即测试您的网站安全状况

赛门铁克 CryptoReport

检查您的 SSL/TLS 证书安装

立即测试
漏洞评估

漏洞评估

漏洞是潜在的入口点,网站的功能或数据可由此入口点遭到破坏、下载或操纵。一般的网站(即便是最简单的博客)也可能拥有数千个潜在的漏洞。

继续阅读

病毒、蠕虫和特洛伊木马的区别

病毒、蠕虫和特洛伊木马的区别

当出现计算机病毒的时候,人们最常犯的错误就是将蠕虫或特洛伊木马称为病毒。

继续阅读

什么是恶意软件、病毒、间谍软件和 Cookie?

什么是恶意软件、病毒、间谍软件和 Cookie,它们有何区别?

在从互联网下载任何东西之前,务必首先检查其安全性。 

继续阅读

成功案例

赛门铁克网站安全解决方案的实际应用

加入社区

参与 Symantec Connect 上的安全主题讨论

SYMANTEC CONNECT

在 Twitter 上关注 Threat Intelligence:@Threatintel

SYMANTEC ON TWITTER

观看 YouTube 上的赛门铁克网站安全视频

SYMANTEC ON YOUTUBE

我们已经更新了我们的隐私政策,可以在这里找到。