中勒索病毒的服务器能接入网络远程吗

NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
时间：2019-09-06 14:59:41 来源：游侠安全网
概 况
近日，美创安全实验室发现了一种全新的勒索病毒，根据它给被加密文件额外附加的文件后缀名，它被命名为“NEMTY”。这是该类型的勒索软件的第一个版本，目前，尚不清楚NEMTY具体是通过何种渠道传播的，但从一个可靠的消息来源获悉，攻击者是通过受损的远程桌面连接(RDP)来传播该病毒的。
病毒情况
美创安全实验室第一时间拿到相关病毒样本，经 virustotal 检测，确认为 NEMTY勒索病毒。NEMTY在执行加密时，使用RSA+salsa20算法加密电脑上的重要文件。加密后，影响用户关键业务运行，且暂时无法解密。
经过分析发现，此新型勒索病毒似乎融合了之前GandCrab和Sodinokibi两款勒索病毒的一些特点，但此勒索病毒代码结构与此前两款勒索病毒都不相同。至于该勒索病毒后期会不会流行爆发，需要持续跟踪观察，请各企业做好相应的防范措施，勒索病毒的重点在于防御。
详细信息
NEMTY勒索病毒和大多数勒索病毒一样，会删除其处理的文件的卷影副本，从而使受害者无法通过windows创建的备份来恢复数据。
如果不幸中招，则存储在计算机上的所有文件都被加密。受害者将能够看到如下图所示的一张赎金票据，提示受害者如何缴纳赎金获取解密工具。
该勒索病毒要求了009981 BTC的赎金，按照目前的行情，大约价值1000美元。为了保持匿名性，支付网站被托管在Tor网络上，攻击者还“贴心”地在赎金票据中给出了Tor浏览器客户端的下载地址。除此之外，攻击者还提供了另一个带有聊天功能的网页的链接，以便指导受害者如何进行付款 *** 作。
防护措施
美创安全实验室再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：
(1)及时给电脑打补丁，修复漏洞。
(2)对重要的数据文件定期进行非本地备份。
(3)不要点击来源不明的邮件附件，不从不明网站下载软件。
(4)RDP远程服务器等连接尽量使用高强度且无规律的密码，不要使用弱密码。
(5)尽量关闭不必要的文件共享。
(6)尽量关闭不必要的端口。
以上为防护勒索病毒的常规方式，为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品诺亚防勒索系统。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档如想保护数据库文件可通过添加策略一键保护。
无诺亚防勒索防护的情况下：
在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加了nemty后缀，并且无法正常打开。
开启诺亚防勒索的情况下：
双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下：
为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。
推荐内容
windows7今日正式停止支持 腾讯安全启动守护计划
windows7今日正式停止支持 腾讯安全启动守护计划
2020-01-14
硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系
硅谷Epstein事件发酵 比尔盖茨等千亿富豪难脱干系
2020-01-14
苹果高管：会扫描上传到iCloud的照片 防止违法内容
苹果高管：会扫描上传到iCloud的照片 防止违法内容
2020-01-10
使用WebAssembly的网站 将其有一半是用于恶意目的
使用WebAssembly的网站 将其有一半是用于恶意目的
2020-01-09
Android漏洞曝光 导致黑客能利用设备的NFC功能
Android漏洞曝光 导致黑客能利用设备的NFC功能
2019-11-06
安恒信息上市上交所 今年营收增长率超过50%
安恒信息上市上交所 今年营收增长率超过50%
2019-11-05
格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片
格鲁吉亚遭遇大规模网络攻击 被袭击的网页被替换为前总统的照片
2019-11-01
我国《密码法》表决通过 采用特定变换的方法对加密保护信息
我国《密码法》表决通过 采用特定变换的方法对加密保护信息
2019-10-31
HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁
HIS未能阻止黑客通过机器人监视住客 可使用面部识别技术解锁
2019-10-30
安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权
安华金和数据库安全系统与华为GaussDB完成兼容性测试 取得华为COMPATIBLE证书及徽标使用权
2019-10-29
sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件
sodinokibi勒索病毒攻击中韩企业 可伪装成表格文件
2019-10-28
SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户
SRLabs找到Google和Amazon扬声器的漏洞 可进行网络钓鱼和窃听用户
2019-10-25
趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件
趋势科技反威胁工具包存在漏洞 启动安全扫描就会执行恶意软件
2019-10-24
NSA将建立新的网络安全部门 主要负责外国情报和网络防御
NSA将建立新的网络安全部门 主要负责外国情报和网络防御
2019-10-23
SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险
SIMP-SRD能有效的梳理公民信息 可排查数据的安全风险
2019-10-22
奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想
奇安信将品牌LOGO升级为虎符 强化攻防兼备的安全思想
2019-10-21
HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限
HildaCrypt免费释放密钥 可帮助获得恶意加密文件的访问权限
2019-10-18
微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等
微软发现多个安全漏洞 涉及Microsoft Windows/Jet 数据库等
2019-10-17
亚信安全XDR全景发布 包含实现跨越多层联动的端点
亚信安全XDR全景发布 包含实现跨越多层联动的端点
2019-10-16
TeamViewer被爆出安全事件 用户的账号密码遭到泄露
TeamViewer被爆出安全事件 用户的账号密码遭到泄露
2019-10-15
iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令
iTerm 2漏洞已存在7年 可让攻击者在电脑执行命令
2019-10-14
火狐浏览器发布6902版修复更新 文件下载变成0KB
火狐浏览器发布6902版修复更新 文件下载变成0KB
2019-10-12
谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞
谷歌修复Android的26个漏洞 包含使用Media文件获得提权的漏洞
2019-10-10
微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开
微软出现桌面搜索异常和虚拟机问题 搜索可能空白和虚拟机无法打开
2019-10-09
安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开
安华金和曝光YOUR_LAST_CHANCE勒索病毒 可修改文件后缀导致数据库无法打开
2019-09-30
Forcepoint 客户端发现提权漏洞 可执行未签名的可执行文件
Forcepoint 客户端发现提权漏洞 可执行未签名的可执行文件
2019-09-29
Emotet被重新唤醒 使用恶意的Word文档模板
Emotet被重新唤醒 使用恶意的Word文档模板
2019-09-25
SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板
SOHO路由器和NAS设备被发现125个漏洞 可能获得shell或进入管理面板
2019-09-24
SIM卡漏洞曝光 只要发送短信即可检索个人信息
SIM卡漏洞曝光 只要发送短信即可检索个人信息
2019-09-23
德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容
德国电子制造商发现两个新漏洞 黑客将能远程编辑和访问设备内容
2019-09-19
Chrome将完善隐私沙盒 帮助向目标客户推广告
Chrome将完善隐私沙盒 帮助向目标客户推广告
2019-09-17
计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本
计算机病毒中心发布治理违法APP举措 检测出8000余款恶意样本
2019-09-16
Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀
Ouroboros勒索病毒主要通过垃圾邮件传播 加密文件会添加Lazarus扩展后缀
2019-09-12
语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%
语音生成AI软件被利用来欺诈 Pindrop欺诈案件曾增加350%
2019-09-11
UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件
UVLens的天气应用可能遭到黑客攻击 允许接收垃圾邮件
2019-09-10
美创科技与达梦合作 为企业用户筑建数据安全防线
美创科技与达梦合作 为企业用户筑建数据安全防线
2019-09-09
NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
NEMTY勒索病毒被发现 可通过受损的远程桌面连接传播
2019-09-06
网吧电脑主机被植入挖矿程序 远程控制获得过亿元
网吧电脑主机被植入挖矿程序 远程控制获得过亿元
2019-09-04
WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息
WS-Discovery协议被滥用于发起DDoS攻击 通过SOAP传递消息
2019-09-02
RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序
RubyGems移除Ruby的18个恶意版本 可启动加密货币挖掘程序
2019-08-30
从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机
从Equation窃取的工具包可发起攻击 可被利用来释放加密货币挖矿机
2019-08-29
开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装
开源Android间谍软件窃取信息首次被发现 每次发布都有超100人安装
2019-08-28
Web主机托管商重置客户密码 称黑客登录API引发安全事件
Web主机托管商重置客户密码 称黑客登录API引发安全事件
2019-08-27
网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息
网络钓鱼活动瞄准Instagram用户 可伪装成安全机制窃取用户信息
2019-08-26
Ryuk勒索病毒已流入国内 会加密计算机文件
Ryuk勒索病毒已流入国内 会加密计算机文件
2019-08-23
Fortinet公布最新云安全战略 实现自动化编排/管理/响应
Fortinet公布最新云安全战略 实现自动化编排/管理/响应
2019-08-22
以色列将与360成立网络安全创新中心 帮助以色列公司进入中国
以色列将与360成立网络安全创新中心 帮助以色列公司进入中国
2019-08-21
美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站
美军F-15战机系统被轻易入侵 可能关闭飞机信息下载站
2019-08-20
CTF用于管理Windows的文本展示 可伪装成服务器发送指令
CTF用于管理Windows的文本展示 可伪装成服务器发送指令
2019-08-16
IBM发布数据泄露成本报告 过去5年成本上升12%
IBM发布数据泄露成本报告 过去5年成本上升12%
2019-08-15
WEB开发网

病毒清除不掉的原因主要有: 1病毒正在运行。2病毒隐藏在系统还原的文件夹“_restore”中。 那么，我们该怎么样来处理呢？下面是笔者为大家列出的几条建议： 1在Windows中中止病毒进程。对于WindowsXp/2000，可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程，而对于Windows98/Me，则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个，该过程俗称“杀进程”。 不要怕出错，因为不会对电脑造成任何损坏，最多就是死机。注意，杀进程的 *** 作有时得进行两次才成功。有的病毒有两个进程，互相保护，杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉，然后用突然断电的方式重启电脑，再杀毒。 2在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。 3禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑，在dos下删除_RESTORE文件夹。 4在Dos下杀毒不存在杀不掉的问题。实际上用金山毒霸在DOS下杀毒还可以更简单，用普通软盘启动盘或U盘启动盘启动电脑后，先换到C盘，然后进入金山毒霸的目录(命令:cd kav或cd kav5，与版本有关)，然后输入KAVDX，回车就开始杀毒了。 5补充 *** 作。病毒杀掉后还应该修复注册表。 光辉互联主要经营有服务器托管、租用，虚拟主机，域名注册，网站建设等。我们会以优质的服务、最低的价格全方位满足你互联网工作的需要。有需要的朋友一定要找我啊！还有更多优惠尽在光辉互联！

由于病毒摧毁计算机所造成的威胁有越来越严重的趋势，企业对于功能更强大的防毒软件的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好防毒措施，付出了惨痛而昂贵的代价。前几天我们这里的行政部门的的所有计算机由于感染了尼姆达病毒，搞得整个局域网瘫痪了，我们几个整整忙了两天才完全恢复正常。在工作期间，我发现这个单位网络安全意识低得真让人不敢相信，大多数计算机没有安装防火墙，就算安装了也好久没有升级了。（同志们，这可是我们政府机关啊！）所以建构一个全面的防毒策略，成为了大多数单位的一个重要问题，大面我和大家谈谈企业如何构建一个电脑病毒防护的安全策略。
企业的防毒策略
在早期的计算机环境中，其实病毒并不是一个非常令人头痛的事，只要我不用来路不明的磁盘，基本上可以防止 80％ 的病毒入侵，但是进入互联网的新世纪，绝大部分的信息经由互联网交换，那么更容易从互联网上染上病毒，因此企业防毒策略的制定，更是绝对不能没有的计划。一般而言，一个需要作好防毒措施的网络架构可以分成以下三个不同的阶层：
1、网络（SMTP）网关（Internet Gateways）防毒机制
首先针对病毒可能会入侵的通道加以防堵，第一步就是企业的大门，在企业的局域网络中，网关扮演了举足轻重的角色，通常企业的网关就是通往内部网络的门，或者是安全性更高防护措施更完善的企业网络架构中，会有一个非军事区网络 ( DMZ， De-Militarized Zone ) ，在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。
以网关或是DMZ部分的部署，通常可以分为两种模式：
第一种为网关模式，也就是将防毒服务器或是防毒墙(例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式，此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部，也就是防毒墙或防毒服务器将成为名符其实的一个资料网关(有点像是路由器)，如此一来所有进出企业体的封包，将一一被扫描过滤，一个都不会错过。
我以一般企业简单的网络架构来说明，一般来说位在网关的防毒机制，考虑到运作效能的问题，是不需要负责太复杂的防毒，通常是专门针对某些通讯协议加以侦测扫描，例如针对SMTP、FTP、>一般来说，有以下三种原因：
1、虚拟主机网站代码有问题，存在安全漏洞造成的。
如果服务器上大部分用户的网站都正常，只有少量用户网站被黑，那么就很可能是少量用户网站被黑的网站代码有问题，存在安全漏洞造成的。造成这个问题是没有办法解决，也不是服务商的责任。
大家都知道，“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件 *** 作的权限，他们通过您分配的合法权限，可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限，令黑客有机可乘，那么，黑客就可以利用合法权限对网站进行破坏了，但是大部分用户都认为这个黑客入侵不是他自己造成的，是服务商造成的，这实际上是冤枉了服务商。例如，用户使用了一些不安全的程序（如“动网论坛”），这些程序的代码设计本身存在漏洞，很容易被黑客利用来上传网页木马，黑客可以 *** 纵网页木马，利用合法权限来破坏您用户的数据和改动网页的文件，甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题，存在安全漏洞造成的”。
2、是服务器被入侵导致的。
当服务器上所有网站都被植入了病毒代码，并且可以在源文件的尾部或头部找到病毒代码文件，或者在IIS里面被植入了添加脚本，就标明是由于服务器被入侵导致的。
3、是服务器所在的机房中了ARP病毒导致的。
当服务器上所有网站都被植入了病毒代码，并且在源文件的尾部或头部无法找到病毒代码文件，就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决，一般情况下，机房会有大量服务器中毒，会有很多客户向机房反应，一般在半小时内机房就会处理的。
服务器/VPS解决办法：如装antiarp,金山ARP

如果说通过代理服务器访问有毒网站会不会中毒，答案是会，因为代理只是一种数据传输方式，和数据安全与否没有必然关系。

如果想问代理服务器本身会不会让你中毒，答案是可能，这就要看你所选用的代理安全不安全了，简单想象一下，你所收发的数据内容都是通过别人的服务器走的，人家想对你做手脚是完全可能的。这就和电信上网，输入错误网址，电信自动给你跳到它的114搜索的广告页面一样。

因为网吧要照顾到所有来上网的人的口味，至于乱七八糟病毒它不管，因为网吧服务器装有一键还原类软件，每天打烊时只需还原即可回复所有电脑的正常系统。而客户玩家在分机电脑上浏览有病毒网页或下载某些东西插过带病毒的U盘传染了分机，所以分机往往病毒较多，可服务器在打烊时可以使他们全部还原成正常系统。

“高防”，顾名思义，就犹如网络上加了类似像盾牌一样很高的防御，相当于一个网盾，主要是指IDC领域的IDC机房或者线路有防御DDOS攻击的能力。
高防服务器主要是比普通服务器多了防御服务，一般都是在机房出口架设了专门的硬件防火墙设备以及流量清洗牵引设备等，用来防御常见的CC攻击,DDOS，SYN攻击。就目前的标准衡量，高防服务器是指能独立防御100G以上的服务器。大部分IDC机房出口都没有达到这个带宽容量，或者没有这个级别防御设备的，就称之为普通IDC机房了。
高防服务器属于IDC的服务器产品的一种，根据各个IDC机房的环境不同，有的提供有硬防，有的使用软防。简单来说，就是能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞的服务器类型，包括WAF（Web Application Firewall）防御，都可定义为高防服务器。
至于价格要看你所需要的配置而定，我们用的是普通配置 五百一个月的，需要告诉你是哪一家吗？

---