腾讯安全-新勒索病毒如果还在调试通过永恒之蓝传播会被抓

自2017年5月“WannaCry”勒索病毒席卷全球150多个国家以来，“永恒之蓝”漏洞攻击事件频发。近日，腾讯安全威胁情报中心成功捕获一个试图集成永恒之蓝、双脉冲星等漏洞攻击模块的勒索病毒。该病毒设计了一种局域网漏洞攻击，试图通过感染u盘等移动存储设备，跨越隔离网络攻击用户的文档和数据，给企业用户网络带来一定的安全隐患。

因为病毒加密的文件会生成扩展名为”。Yatron”，腾讯安全将其命名为“Yatron”勒索病毒。目前，腾讯安全终端的安全管理系统已经对该病毒进行了全面拦截和查杀，同时提醒广大企业用户尽快提高警惕。

(图：腾讯宇电终端安全管理系统)

通过分析发现，Yatron勒索软件目前的勒索、密钥上传、攻击传播等系统并不完善。腾讯安全技术专家推测，该病毒目前处于开发调试阶段，但如果任由其按照既定的传播路径发展，无疑会给企业信息带来很大的安全隐患。

据腾讯安全技术专家介绍，Yatron勒索软件攻击手段丰富且先进。运行后会迅速入侵局域网，利用永恒之蓝、双脉冲星等工具尝试传播内网。一旦入侵成功，用户电脑中的进程管理、浏览、抓包、调试工具都将被其完全捕获和控制。此时，勒索软件可以利用获得的权限强行篡改任务管理器，导致计算机系统进程失败，干扰浏览器页面的正常使用，同时使用户的计算机弹出进程异常对话框。

(图：异常用户系统进程)

如果说Yatron勒索软件攻击效率高，那么它的“防御”能力也是出众的。据介绍，入侵成功的病毒会对电脑中的文件进行加密，通过删除系统影子信息切断文件恢复路径，然后在用户电脑上留下“勒索描述”弹窗，要求用户支付价值300美元的比特币作为“赎金”。此外，分析还发现，除了局域网攻击，该病毒还试图通过感染u盘等移动存储设备来获得更广泛的传播，从而实现交叉隔离的网络敲诈。

(图：勒索软件Yatron勒索描述文档)

自NSA(美国国家安全局)漏洞曝光以来，“永恒之蓝”、“双脉冲星”等军用级网络攻击工具日益流行，基于此的各种勒索软件也层出不穷。如何加强网络安全建设已成为许多企业关注的焦点。为此，腾讯安全反病毒实验室负责人马劲松提醒广大企业网管，尽可能关闭不必要的端口和共享文件，对重要文件和数据进行定期非本地备份；采用强密码，同时对没有互联要求的服务器/工作站的内部访问设置相应的控制；建议全网安装御点终端的安全管理系统，终端杀毒和漏洞修复的统一控制，策略控制等全面的安全管理功能，可以帮助企业管理者全面了解和管理企业内网的安全状况，保护企业安全。