-
该勒索病毒使用了常见的RSA+AES加密方法,首先生成AES秘钥对文件进行加密,然后使用RSA公钥对AES的秘钥进行加密,只有得到攻击者的私钥才能进行解密:
-
该勒索病毒加密时,会跳过某些后缀,具体类型如下,其中包含了加密后会替换的后缀“.Technomous-zbtrqyd”:
-
加密后修改文件后缀为“.Technomous-zbtrqyd”,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:
绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式进行解密,因此,数据备份显得尤为重要。此次的攻击事件中,用户也得益于每天进行快照备份和数据备份,进行了大部分的恢复,详细过程描述如下:
影响
(1)首次登陆处找到所使用版本号,如图:
(2)使用自检脚本检测是否开启SLP服务,如图表示可能存在漏洞:
脚本下载地址:
https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
(1)ESXi使用以下命令在ESXi主机上停止SLP服务:
/etc/init.d/slpd stop运行以下命令以禁用SLP服务且重启系统仍然生效:
esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off运行此命令检查禁用SLP服务成功:
chkconfig --list | grep slpd若输出slpd off则禁用成功。
1、【深信服EDR】深信服EDR用户将病毒库更新至20210317164718版本,接入文件云查,使用云查服务以及时检测防御新威胁;
2、【深信服下一代防火墙】可轻松防御CVE-2019-5544漏洞,建议部署深信服下一代防火墙的用户升级最新版本的规则库,可轻松防御该病毒利用的漏洞;
3、【深信服安全感知平台】可检测利用CVE-2019-5544漏洞的攻击,实时告警,建议更新到最新版本,接入深信服云查,及时检测新威胁。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论