最近研究人員發現了一個新的勒索病毒Ransomware (勒索軟體/綁架病毒),名為「Nefilim」。該病毒會威脅受害者若不支付贖金就要將受害者的資料公開。根據 SentinelLabs 的 Vitali Krimez 和 ID Ransomware 的 Michael Gillespie 在 Bleeping Computer 上表示,此病毒最有可能是經由暴露在外的遠端桌面 (RDP) 連接埠散播。
Nefilim 的程式碼與 Nemty 2.5 勒索病毒有許多相似之處,兩者的主要差異在於 Nefilim 已不再使用勒索病毒服務 (Ransomware-as-a-Service,簡稱 RaaS),此外也改用電子郵件通訊來收受贖金,不再透過 Tor 支付網站。目前並無資料顯示 Nemty 和 Netfilim 是同一集團所為。這個新的勒索病毒很可能像其他一些勒索病毒 (如 Nemty、Crysis、SAMSAM) 一樣是經由 RDP 通訊協定散布。
延伸閱讀:
已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播
刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院
Netfilim 採用
AES-128 加密演算法來將受害者的檔案加密。然後再使用勒索病毒執行檔內嵌的 RSA-2048 公開金鑰來將 AES 加密金鑰加密。接著再將加密後的 AES
金鑰附在每個被加密的檔案末端。此外,勒索病毒還會在被加密的檔案內插入「NEFILIM」這串字來作為標記,也會修改副檔名,將「.NEFILIM」加到副檔名末端
(例如,如果原本的檔名是「1.doc」,被加密後的檔案會變成「1.doc.NEFILIM」)。
受害者若想救回被加密的檔案,就必須向勒索病毒開發者取得
RSA 私密金鑰,至於贖金的細節目前尚未公布。
與勒索病毒賽跑
勒索病毒正持續擴大版圖,犯罪集團隨時都在開發新的勒索病毒家族和變種。根據趨勢科技 2019 年度資安總評報告指出,醫療、政府與教育產業是去年許多勒索病毒的攻擊目標。不幸的是,很多機構都迫於壓力而支付了贖金以避免營運癱瘓或損失重要資料。
Nefilim 和許多勒索病毒都是利用暴露在外的 RDP 連接埠來感染電腦。為此,企業可採取以下四步驟來防止 RDP 遭駭客利用:
- 關閉沒用到的 RDP 連接埠。如果不可能關閉,那就限制這些連接埠的遠端連入位址。
- 透過設定來確保唯有獲得授權的使用者可取得 RDP 網路系統管理員權限。
- 監控網路活動來發掘駭客攻擊跡象。
- 設定登入失敗次數限制,防止不肖之徒不斷嘗試登入。
[延伸閱讀:InfoSec Guide:Remote Desktop Protocol (RDP)]
除此之外,企業也應建立嚴格的規範和規定來處理不確定來源的電子郵件,員工應避免開啟這類電子郵件或隨附的檔案。為預防資料毀損,員工也應定期備份資料。最後,還要讓軟體和應用程式隨時保持更新,以確保系統沒有任何可利用的新舊漏洞。
企業還可進一步結合行為分析與高準度機器學習來強化勒索病毒防護,全面保護電子郵件、端點、伺服器及網路。
若企業正遭到勒索病毒攻擊,可嘗試看看趨勢科技免費的
Ransomware File Decryptor 檔案解密工具 (Windows 和 macOS 版本皆有)。
入侵指標資料
| SHA-256 | 趨勢科技病毒碼偵測名稱 | 趨勢科技機器學習偵測名稱 |
| 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6 | Ransom.Win32.NEFILIM.B | Troj.Win32.TRX.XXPE50FFF034 |