1. 程式人生 > >.Lucky後綴勒索病毒數據解密

.Lucky後綴勒索病毒數據解密

網卡 爆破 struts 技術分享 復用 包括 RoCE 使用 web管理

近日,勒索病毒.lucky加密後綴,是新的勒索病毒變種,其傳播模塊復用了Satan的傳播方式,實現了Linux下的自動化傳播,我們將其命名為lucky勒索病毒。

***流程:
技術分享圖片

傳播模塊:

conn與Satan的傳播模塊一致,跟Windows版本一樣,主要利用以下漏洞進行***:

1.JBoss反序列化漏洞(CVE-2013-4810)

2.JBoss默認配置漏洞(CVE-2010-0738)

3.Tomcat任意文件上傳漏洞(CVE-2017-12615)

4.Tomcat web管理後臺弱口令爆破

5.Weblogic WLS 組件漏洞(CVE-2017-10271)

6.Windows SMB遠程代碼執行漏洞MS17-010

7.Apache Struts2遠程代碼執行漏洞S2-045

8.Apache Struts2遠程代碼執行漏洞S2-057

解決方案

1.隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。

2.切斷傳播途徑:關閉潛在終端的SMB 445等網絡共享端口,關閉異常的外聯訪問。深信服下一代防火墻用戶,可開啟IPS和僵屍網絡功能,進行封堵。

3.查找***源:手工抓包分析。

4.查殺病毒:推薦使用360衛士或深信服EDR進行查殺。

5.修補漏洞:打上以下漏洞相關補丁,漏洞包括“永恒之藍”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Weblogic WLS 組件漏洞(CVE-2017-10271)、apache Struts2遠程代碼執行漏洞S2-045、Apache Struts2遠程代碼執行漏洞S2-057。

關於.lucky後綴勒索病毒數據解密,聯系QQ:1378434584

.Lucky後綴勒索病毒數據解密