最近,网上又出现一个新的勒索病毒Sorebrect。它进入系统后会将恶意代码注入合法逬程svchost.exe中,然后销毁病毒文件以躲避杀毒软件的检测,这是当前勒索病毒最高端的技术。Sorebrect 使用微软的Sysinternals PsExec命令加密文件,不但会加密本地文件,还可以加密网络共享上的文件,没看错,是共享的文件哟!

  Sorebrect可以扫描网络上其他计算机的共享文件并锁定这些文件,如果这些文件被设置为任何人都有读写访问权限,那么病毒就可以远程进行加密,之后远程调用wevtutil程序删除事件日志、调用vssadmin程序删除所有卷影副本,而这二者正是判断病毒感染及发作时间的关键性证据,之后利用Tor网络联系黑客,接受黑客的远程指令,由于Tor网络具有匿名性,无法反向追踪黑客。

  Sorebrect最初以中东国家为目标,目前已经扩散到全球各地,大家要提高警惕——在国内,Sorebrect是通过潜伏在制造学术资料、电信相关的软件中进入用户电脑中的,所以近期如果要下载上述资源,注意杀毒后再打幵,或者在虚拟环境中浏览资源。

  Sorebrect是第一个采用销毁病毒文件方式逃避检测的勒索病毒,这种病毒技术之前只出现在网银病毒中,例如采用无文件方式生存的网银病毒“阴风蛊”就攻击了近40个国家的银行用户。

  再来说说防范方法。由于勒索病毒不仅仅针对个人,也会攻击组织及企业,相关的系统管理员和安全工程师可以采取下列方法进行防范:
1、限制用户的读写权限:如果将所有权限随意授予给普通用户,会使网络共享存在较大风险,因此需要授予不同用户不同的权限。
2、限制PsExec的权限: 限制PsExec, 并且只允许系统管理员运行它们。
3、定期更新操作系统及网络: 始终保持操作系统、软件和其他应用程序的更新。
4、定期进行数据备份: 对所有重要的文件和文档进行定期备份,将数据备份到不经常连接计算机的外部存储设备。
5、培养员工的安全意识:对员工进行恶意软件、威胁情报和安全措施的培训,这一点也同样至关重要。