騰訊安全：Crysis勒索病毒針對RDP弱口令爆破攻擊升級 政企須注意防范

近日，騰訊安全御見威脅情報中心監(jiān)測發(fā)現，Crysis勒索病毒在國內傳播升級，感染數量呈上升趨勢，該病毒主要通過RDP弱口令爆破傳播入侵政企機構，加密重要數據，由于該病毒的加密破壞暫無法解密，被攻擊后將導致相關單位遭受嚴重損失。目前，騰訊電腦管家、騰訊御點終端安全管理系統均可攔截并查殺該病毒。

　　(圖：Crysis勒索病毒頁面)

根據騰訊安全御見威脅情報中心監(jiān)測，今年8月以來Crysis勒索病毒家族及其Phobos衍生變種感染量明顯上升，受病毒影響的行業(yè)主要集中在傳統企業(yè)、政府機構和教育系統等，其中傳統企業(yè)是被攻擊的主要目標，占比達32%。

　　(圖：Crysis勒索病毒影響的行業(yè)分布)

本次安全事件中針對RDP的弱口令爆破是不法分子的常用伎倆。根據騰訊安全《2019上半年勒索病毒報告》顯示，弱口令爆破是目前最為流行的勒索攻擊手段，占比高達34%。由于一些管理員的安全意識薄弱，設置密碼簡單容易猜解，不法黑客們常常會利用sa弱口令，通過密碼字典進行猜解爆破登錄。另外騰訊安全《2019上半年企業(yè)安全報告》也指出，RDP協議爆破是不法黑客針對外網目標爆破攻擊的首選手段。

　　(圖：2019上半年勒索病毒入侵方式占比)

值得一提的是，早在2016年，騰訊安全御見威脅情報中心就已監(jiān)測發(fā)現Crysis勒索病毒開始進行勒索活動;今年2月，其家族衍生Phobos系列變種開始逐漸活躍，不僅使用弱口令爆破進行挖礦，而且還利用“永恒之藍”等多個服務器組件漏洞發(fā)起攻擊，短時間在內網即可完成橫向擴張。自今年8月以來，以Crysis為代表的勒索病毒再度猖獗，并且將目標鎖定企事業(yè)單位和政府機構，影響力和破壞性顯著增強。攻擊者還是利用老辦法——弱口令對一些安全意識薄弱的企業(yè)服務器進行爆破攻擊，極易引發(fā)企業(yè)內服務器的大面積感染，進而造成業(yè)務系統癱瘓、關鍵業(yè)務信息泄露。

　　(圖：Crysis病毒家族的Phobos衍生變種)

盡管此次Crysis勒索病毒來勢洶洶，但是企業(yè)用戶也無需過于擔心，騰訊安全已提前展開追蹤和防御。針對該勒索病毒主要通過RDP(遠程桌面服務)爆破的特點，騰訊安全反病毒實驗室負責人馬勁松建議企業(yè)立即修改遠程桌面連接使用弱口令，復雜口令可以減少服務器被不法黑客爆破成功的機會。管理員應對遠程桌面服務使用的IP地址進行必要限制，或修改默認的3389端口為自定義，配置防火墻策略，阻止攻擊者IP連接。

另外，可以通過計算機組策略修改“帳戶鎖定策略”，限制登錄次數為3-10以內，防止不法黑客破解。具體操作步驟如下：運行gpedit.msc，打開組策略編輯器，在計算機設置->安全設置->帳戶策略->帳戶鎖定策略，將帳戶鎖定的閾值設定稍小一些。

此外，企業(yè)用戶可部署安裝騰訊御點終端安全管理系統及騰訊御界高級威脅檢測系統，可及時檢測針對企業(yè)內網的爆破攻擊事件，全方位、立體化保障企業(yè)用戶的網絡安全，阻止不法黑客入侵。對于個人用戶，建議實時開啟騰訊電腦管家等主流安全軟件加強防護，并啟用文檔守護者功能備份重要文檔，有效防御此類病毒攻擊，保護企業(yè)信息安全。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。