勒索病毒變種預(yù)警通告（Satan四代）

來(lái)源：湖北國(guó)菱計(jì)算機(jī)科技有限公司-湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開(kāi)發(fā)-政府網(wǎng)站建設(shè)公司 時(shí)間：2018-06-20

病毒簡(jiǎn)介

近日，勒索病毒Satan家族最新變種正在國(guó)內(nèi)傳播，受影響的系統(tǒng)、數(shù)據(jù)庫(kù)文件被加密破壞，病毒將加密后的文件重命名為.dbger擴(kuò)展名，并在加密主機(jī)上遺留名稱為_(kāi)How_to_decrypt_files的txt文本來(lái)告知受害者解密文件的方式。由于Satan 采用未知非對(duì)稱算法加密而難以破解，當(dāng)前尚無(wú)解密工具。

病毒分析

Satan家族首次出現(xiàn)在2017年1月，發(fā)展至當(dāng)前已出現(xiàn)第4代變種，最新Satan變種除了利用永恒之藍(lán)（MS17-010）漏洞之外，主要通過(guò)以下高危風(fēng)險(xiǎn)漏洞方式傳播：

JBoss反序列化漏洞（CVE-2017-12149）

JBoss默認(rèn)配置漏洞(CVE-2010-0738)

Put任意上傳文件漏洞

Tomcatweb管理后臺(tái)弱口令

攻擊者首先利用web應(yīng)用程序存在的漏洞上傳webshell后門(mén)，然后通過(guò)后門(mén)連接服務(wù)器上傳Satan病毒變種文件，病毒上傳過(guò)程中即對(duì)服務(wù)器文件完成加密：

前幾代Satan病毒主要對(duì)服務(wù)器的數(shù)據(jù)庫(kù)進(jìn)行攻擊加密，近期的變種病毒對(duì)txt、xml等文件一律都會(huì)進(jìn)行加密，影響極為嚴(yán)重。

由于最新病毒變種最近幾天才出現(xiàn)，病毒庫(kù)未及時(shí)更新的防病毒軟件都無(wú)法及時(shí)查殺：

影響分析

此次爆發(fā)的Satan家族的最新變種，主要以國(guó)內(nèi)公共機(jī)構(gòu)服務(wù)器為主要攻擊對(duì) 象，目前已有政府機(jī)構(gòu)網(wǎng)站因該病毒出現(xiàn)系統(tǒng)癱瘓，對(duì)業(yè)務(wù)連續(xù)性造成嚴(yán)重影響。

病毒影響級(jí)別

風(fēng)險(xiǎn)等級(jí)：高級(jí)

影響范圍：中級(jí)

利用難度：低難度