阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4282阅读
  • 2回复

[安全漏洞公告专区]【重要安全预警】警惕“UIWIX”的勒索病毒来袭

级别: 论坛版主
发帖
241
云币
478
— 本帖被 正禾 执行提前操作(2017-05-18) —
}(u:K}8  
2017年5月17日,阿里监测发现一种名为“UIWIX”的勒索病毒新变种入侵案例,该勒索病毒与目前正在流行的“WannaCry”(又名“魔窟”)勒索病毒采用了类似的攻击方式,该变种已经不受开关限制,同样也使用微软公司Windows操作系统的SMB服务漏洞(MS17-010 )进行感染破坏。该勒索病毒会将受害用户文件加密后重新命名,新文件名将带有 “.UIWIX”后缀名。建议所有windows用户及时关闭端口、安装补丁,并提高警惕保持关注。 a+lNXlh=  
经过分析,Uiwix的工作原理与其他勒索恶意类似。加密开始后,它将.uiwix扩展名添加到所有被感染文件。另外,它会投放一个名为“_DECODE_FILES.txt”的文本文件,该文件含有要求支付赎金以解密内容的信息 5&p}^hS5  
8*/;W&7y  
HN367j2e  
C)i8XX  
>e/>@ J*  
YFu,<8"swe  
8Pd9&/Y  
W*S4gPGM  
Uiwix带来的威胁比WannaCry勒索软件还要大,原因在于它不包括kill switch域名,我们对比了UIWIX和WannaCry之间的区别如下: "!P h  
b(|&e  
jq]5Y^e  
?m~1b_@A{  
F5:xrcyC  
防御方案: 0/DO"pnL@  
  • 阿里云用户尽快使用快照或其他方式备份数据,建议采用异地完整备份所有文件;
  • 为受影响的操作系统安装补丁,下载链接 ;
  • WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,因此建议您立即安装相关补丁(域用户建议通过域控紧急推送微软官方的补丁),修复漏洞。
  • 关闭SMB服务;
  1. net stop server
  2. sc config lanmanserver start= disabled
  • 使用安全组策略阻止内网入和外网入方向的445端口;
  • 不要随意点击打开可疑邮件、文件信息;
Q]=/e7  
\Db`RvEmR  
如何启用和禁用Windows和Windows Server中的SMBv1、SMBv2和SMBv3?  t{},Th  
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 L"9Z{o7  
,rN$ah$CL  
(=u!E+N  
IOC: D`G;C  
  • 146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detected as RANSOM_UIWIX.A
  • C72BA80934DC955FA3E4B0894A5330714DD72C2CD4F7FF6988560FC04D2E6494 (SHA256) – detected as TROJ_COINMINER.WN
)=gU~UV  
Command and Control (C&C) domains related to TROJ_COINMINER.WN:
  • 07[.]super5566[.]com
  • aa1[.]super5566[.]com
DRRQ] eK0  
4"eFR'g  
|$IL:W6  
L;*7p9  
Z}0{FwW"4  
Kh=\YN\E<  
F;`c0ja]  
`,~'T [  
[ 此帖被正禾在2017-05-18 10:27重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2017-05-19
Re【重要安全预警】警惕“UIWIX”的勒索病毒来袭
    
级别: 禁止发言
发帖
6
云币
-1
只看该作者 板凳  发表于: 2017-06-19
用户被禁言,该主题自动屏蔽!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)