安全通告
首页技术支持 安全通告

预警!LaoXinWon勒索攻击来袭

发布时间:2020-09-15查看次数:3986
分享到

病毒概述

近日,天融信EDR安全团队捕获到ID为LaoXinWon的勒索攻击者活动,攻击者利用社工方式诱导用户点击恶意链接以实施攻击。勒索病毒运行后,采用AES加密算法从C盘根目录开始遍历文件加密,并生成勒索信息提示用户交付赎金以解密文件。

天融信EDR可精确防御并检测该类勒索病毒,有效阻止事件蔓延。

病毒分析

病毒运行后,将自身复制到当前用户的AppData\Roaming目录下。

将自身命名为svchoste.exe。

检查svchoste.exe文件是否存在,如果不存在,将重新复制自身到AppData\Roaming。

运行svchoste.exe,生成勒索后的后缀名。

在注册表添加开机自启动。

遍历文件到内存中加密。

生成勒索提示信息。

防护建议

针对该窃密攻击,建议通过以下几种方式加强防范:

1. 加强人员安全防范意识,不要点击来历不明的链接、邮件附件及QQ文件等。
2. 及时修复系统及应用漏洞。
3. 定期更新系统及应用密码。
4. 下载安装天融信EDR进行实时防护,可有效防御该类勒索病毒攻击。

天融信EDR获取方式

天融信EDR企业版试用:可通过天融信各地分公司获取,查询网址:
http://www.topsec.com.cn/contact/

天融信EDR单机版下载地址:
http://edr.topsec.com.cn