加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業

 [訊息轉發]【攻擊預警】【更新惡意檔案比對資訊】加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業


教育機構ANA通報平台

發佈編號  TACERT-ANA-2020051903054040

發佈時間  2020-05-19  15:06:40

發現時間  2020-05-19  06:39:40

事故類型 ANA-攻擊預警

影響等級 低

[主旨說明:]

【攻擊預警】【更新惡意檔案比對資訊】加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業

[內容說明:]

轉發教育機構資安通報應變小組

近期勒索軟體攻擊事件頻傳,使用者電腦一旦遭植入該惡意程式,將導致該電腦可存取的檔案(含網路磁碟機、共用資料夾等)全數加密無法開啟讀取,藉以勒索使用者支付贖金換取檔案解密。
依近期攻擊活動研究報告顯示,駭客透過進階持續性滲透攻擊(Advanced  Persistent  Threat,  APT)方式成功入侵目標組織,並取得網域管理者權限後,以群組原則方式散布勒索軟體,達到大範圍資料加密目的,建議各級機關應提高警覺,定期檢視例行性排程設定與派送機制,如於相關日誌發現異常連線或警示,應深入釐清事件原因,避免錯失調查時機,目前調查已知惡意程式資訊(SHA1)如下: 

03589DFFE2AB72A0DE5E9DCE61B07E44A983D857  0b4b8404e459a4e892ad06e69ac05ec09d40d3a3  0CB8ED29268EC9848FF1C7F25F28B620271E61C9  0f63da0ce881fd3979864a0731b14231682e8e5b  1acb8e1c912c00aa2de6fafedeff1869cfdbb254  1f2d2b311c0fc6e04b868b8c54f4e2a4312c6ed3  2051f0a253eced030539a10ebc3e6869b727b8a9  2367326f995cb911c72baadc33a3155f8f674600  275473714B3BDDBDE3FF1BDA892E4BD65C383DEB  29cc0ff619f54068ce0ab34e8ed3919d13fa5ee9  2ab7cdcae22011ee91823854792ab962611c698b  2c68fbd1275de9a9ba0f5fbf742c3fffd4177e05  321901969d7e63d64769236940618aed444f8271  5B9B7FB59F0613C32650E8A3B91067079BCB2FC2  5ce619790d42d49453dbb479074d5a5ae294ee0e  5fc7165336fce9a2113da9ac4d28b56394e63fb1  63697b356cb278535d847e9b27c49bd989e013a2  65bc1801aca0af1a323bacc4b0208bc9321c879b  6aed0e607eab4d4a1e2c038b5790dafa27801b74  71431cbfb8d0090b1ba6877c2774a83f61546035  75e49120a0238749827196cebb7559a37a2422f8  7a1c5e1799bdeebb01527f54a7fd89d0b720dea7  95db7a60f4a9245ffd04c4d9724c2745da55e9fd  9d6feb6e246557f57d17b8df2b6d07194ad66f66  a0402!
  754def2c4055f0ea6f5da2db91de1e271d1  a2046f17ec4f5517636ea331141a4b5423d534f0  AD6783C349E98C2B4A8CE0B5C9207611309ADCA7  b78e56a2e84ae36d5cfadcad09057381f50b97c0  bab4b926042aa271c3fdd8d913bc70539152d04b  de9a0386c9736b60e63defd99eb0eba9930561d2  e7aa8f55148b4548ef1ab9744bc3d0e67588d5b7  ec7a59e79be688928d6c2441ec5c8e95532619cf  ef8cd0f9ef1e20b119f1908978d2e74b587c275e  efa69a6be36d0d4ec787515799c15ad236502be0  f0ebd358ceea9a90090c1cd0e6704965e234396f  f7db1c8e17aae7b5b0a1c3d168a2663cbc541219  f8c4cc8505982994e2855a9eacfd7c73bdc11b4f  f908577ed2eb1e913d93eb6261a4ece692ade364 

此外,傳統勒索軟體傳染途徑以應用程式漏洞(如Flash  Player)與社交工程為主,建議請各級政府機關除加強組織資安監控防護外,仍應持續確認相關應用程式更新情況,定期備份重要檔案,加強資訊安全宣導,避免開啟來路不明郵件或連結。

情資分享等級:  WHITE(情資內容為可公開揭露之資訊)

[影響平台:]


[建議措施:]

1.如發現資通訊系統存在可疑檔案,建議進行SHA1比對,以確認是否為惡意程式。

2.定期檢視資通訊系統日誌紀錄,同時檢視資通訊系統排程設定與派送機制,如發現異常連線或新增排程情形,應立即深入了解事件原因。 

3.不定期檢視資通訊系統帳號使用情況,並定期變更帳號密碼,確保密碼設定符合複雜性原則,避免字符轉換情況發生。

4.清查重要資料,並參考下列做法定期進行備份作業: 
-定期執行重要的資料備份。 
-備份資料應有適當的實體及環境保護。 
-應定期測試備份資料,以確保備份資料之可用性。 
-資料的保存時間與檔案永久保存的需求,應由資料擁有者研提。 
-重要機密的資料備份,應使用加密方式來保護。 

5.檢視網路硬碟與共用資料夾之使用者存取權限,避免非必要使用存取。 

6.確認作業系統、防毒軟體,及應用程式(如Adobe  Flash  Player、Java)更新情況,並定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為。 

7.若使用隨身碟傳輸資料,應先檢查隨身碟是否感染病毒或惡意程式。 

8.若疑似遭受感染時,可參考下列做法: 
-應立即關閉電腦並切斷網路,避免災情擴大。 
-通知機關資訊人員或廠商協助搶救還沒被加密的檔案。 
-建議重新安裝作業系統與應用程式,且確認已安裝至最新修補程式後,再還原備份的資料。 
-備份資料在還原至電腦之前,應以防毒軟體檢查,確保沒有殘存的惡意程式。 

9.加強教育訓練,請使用者留意相關電子郵件,注意郵件之來源的正確性,不要開啟不明來源信件的附檔或連結,以防被植入後門程式。

[參考資料:]


(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
  ---
電話服務:週一至週五  08:00-17:00  03-4227151#  57555,  57566 
網路電話(VoIP):97820055、97820066
週一至週五  17:00-22:00      03-4227151#  57511
Email  服務:  Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
桃園區網網址:  http://www.tyrc.edu.tw