最近,研究人员观察到,勒索软件团伙REvil部分基础设施重新启动并运行,并袭击了新的受害者俄亥俄州光栅公司。
REvil从该公司窃取了员工个人信息、 服务器 密码、客户数据、银行账户信息、CAD格式的制造图纸和详细的数据信息等。
9月14日,据Security affairs报道,该勒索软件团伙回归后,一位名为“REvil”的新代表在网络犯罪论坛上发贴称,在老代表疑似被逮捕后,其组织服务器被入侵,短暂关闭了两个月。
早在9月7日,就有许多研究人员发现,REvil 勒索软件团伙的服务器重新上线,其托管在Tor的支付/谈判网站和泄露数据交易网站 “快乐博客 “(Haapy Blog)都可以重新访问。但当时研究人员尚不清楚REvil团伙是否恢复运营,还是执法部门将其服务器短暂上线。
在不久之后的9月9日,有人将9月4日编译的新 REvil勒索软件样本上传到了VirusTotal上,此举令研究人员确认REvil勒索软件团伙已经全面恢复活动,该团伙正在瞄准新受害者并泄露被盗文件。
自7月13日起,REvil 勒索软件团伙的基础设施和网站开始无法访问,Tor 泄漏站点、支付网站“decoder[.]re”及其后端基础设施同时下线。
此前,REvil勒索软件团在7月2日袭击了IT服务提供商Kaseya基于云的MSP(托管服务提供商)平台, 破坏了软件补丁和漏洞管理系统 Kaseya VSA的基础设施,之后推出了VSA内部部署服务器的恶意更新,以求在企业网络上部署勒索软件。
在对kasesy的MSP及其客户造成影响后,该组织要求提供价值7000万美元的比特币,来解密所有受Kaseya供应链勒索软件攻击影响的系统 ,此次袭击引起了媒体和警察当局的注意,随后该团伙的服务器及业务被执法部门查封。
参考链接:Security Affairs
网络安全专家建议,用户要断网开机,即先拔掉网线再开机,这样基本可以避免被勒索软件感染。 开机后应尽快想办法打上安全补丁,或安装各家网络安全公司针对此事推出的防御工具,才可以联网。 建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘,同时对于不明链接、文件和邮件要提高警惕,加强防范。 临时解决方案:1、开启系统防火墙2、利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)3、打开系统自动更新,并检测更新进行安装Win7、Win8、Win10的处理流程1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。 2、选择启动防火墙,并点击确定3、点击高级设置4、点击入站规则,新建规则5、选择端口,下一步6、特定本地端口,输入445,下一步7、选择阻止连接,下一步8、配置文件,全选,下一步9、名称,可以任意输入,完成即可。 XP系统的处理流程1、依次打开控制面板,安全中心,Windows防火墙,选择启用2、点击开始,运行,输入cmd,确定执行下面三条命令:net stop rdr 、net stop srv 、net stop netbt
发表评论