从去年的XTBL病毒到Dharma再到如今的Wallet服务器勒索病毒,病毒作者不断更新着。
2017年8月,病毒再次更新为cesar/arena后缀,并集中爆发。
根据正瑛掌握的信息,可以明确的确认病毒作者是同团队。作者在暗网中出售此病毒,购买者(也就是传播者)非常多(黑客邮箱统计),服务器安全形势十分严峻。
根据我们上百个案例的分析,病毒主要通过远程桌面(RDP服务、3389端口)暴力破解用户密码,进入服务器释放病毒程序,进而加密所有文件。因此我们总结经验,建议如下防范措施:
1、服务器尽量不要开放外网端口。
2、不使用系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼。
3、更改默认administrator管理帐户,禁用GUEST来宾帐户。
4、更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符。
5、外网服务器不要有访问及修改内网计算机文件夹的权限。
6、设置帐户锁定策略,在输入5次密码错误后禁止登录。
7、安装杀毒软件,设置退出或更改需要密码,防止黑客进入关闭杀毒软件。
8、定期的一个数据异地备份,如是云服务器,一定要做好快照。