*****MIS資安通報******
之前MIS有收到中華電信來信
樹義分校跟東風巨蛋會館的對外IP有對外攻擊的情況
巨蛋會館 114.35.219.30
台中樹義220.134.14.155
請盡快找廠商處理DVR設備
如其他營業點有相同設備
也請廠商進行資安檢查
謝謝
BAIS資訊安全通報20200604
- 請勿點選開啟不明來歷郵件
- 請勿下載並安裝有安全疑慮(系統或防毒軟體一直跳出警訊的狀況)的軟體。
Kupidon勒索病毒
丘比特 是一種網絡威脅,一旦它進入目標計算機,可能會使用戶的文件失效. 該病毒的惡意活動最早在5月初被發現 2020. 該惡意軟件作為典型的勒索軟件運行, 第一, 它會強行阻止磁盤上的所有個人文件,然後需要贖金才能使用解密工具. 要獲得此工具, 受害者被要求付款 300$ 在比特幣加密貨幣中. 然而, 我們不建議你這樣做, 因為它可能導致欺詐或第二次病毒攻擊. 代替, 您可以使用我們的指南來刪除Kupidon勒索軟件並解密.kupidon文件.
內容 !KUPIDON_DECRYPT.TXT贖金記錄
您的所有文件已使用Kupidon病毒加密.
你的唯一的ID: –
正如你可以購買解密一個私人的人 300$ 在比特幣.
但在付款前, 你可以確信,我們真的可以解密任何文件.
加密密鑰和ID是唯一到您的計算機, 所以你要保證能夠返回您的文件.
去做這個:
1) 下載並安裝Tor瀏覽器 (
hxxps://www.torproject.org/download/ )
2) 打開hxxp://Tor瀏覽器中的oc3g3q5tznpubyasjgliqyykhxdfaqge4vciegjaapjchwtgz4apt6qd.onion/網頁,並按照說明進行操作.
一旦加密過程完成, 您將無法打開文件與 .丘比特 擴展除非他們被解密. 例如, myfamily.jpg 文件會變成 myfamily.jpg.kupidon. 你可以找到如何支付贖金在解密密鑰的要求和指示 !KUPIDON_DECRYPT.TXT 文件型病毒滴在桌面. 網絡罪犯敦促用戶通過Tor瀏覽器訪問其網站進行付款. 照常, 網絡犯罪分子提供的幾個文件免費解密,以證明他們真的可以解密受害者的文件.
Kupidon文件的屏幕截圖:
在感染階段的最後階段, 這種勒索可能會刪除計算機上的所有卷影. 之後, 你將不能夠進行標準程序使用這些體積陰影中恢復您的加密數據. 有兩種解決方案可以刪除Kupidon Ransomware並解密文件. 第一種方法是使用自動拆卸工具. 這種方法對於沒有經驗的用戶甚至適合,因為刪除工具可以刪除病毒的所有實例只需點擊幾下. 第二是使用手動刪除指南. 這是一個比較複雜的方式需要特殊計算機技能.
Kupidon勒索軟件如何進入我的計算機?
網絡犯罪分子使用各種技術來實現病毒到目標計算機. 勒索病毒可以滲透到受害者的電腦不止在一個或兩個方面, 在多數情況下, cryptoviral勒索攻擊與以下方法的幫助下進行:
- 垃圾郵件
這是最常用的分配方法. 網絡犯罪分子使用欺詐性電子郵件偽裝成官方機構或商業公司 (收, 中獎通知, 訂單確認; 銀行信息, 等等) 引誘不知情的用戶點擊惡意附件 – 只需點擊一下鼠標,使您的文件無法訪問. 誤導用戶,並使它看起來像一個官方電子郵件, 網絡罪犯增加了一個額外的符號的電子郵件地址, 例如, 代替 service@Kupidonpal.com, 您可能會看到 服務[.]@ Kupidonpal.com 要么 服務[_]@ Kupidonpal.com. 這就是為什麼你要時刻注意接收到的電子郵件和識別發件人,以確保這是來自可靠來源. 也, 在消息的文本語法和印刷錯誤的存在指示這是假. 如果沒有什麼是錯的, 用殺毒軟件掃描附件第一,那麼你就可以打開它. 遵守所有這些規則將幫助您節省大量的神經, 時間, 和金錢.
- 軟件
黑客使用特殊的工具來利用系統或應用程序已知漏洞. 這就是為什麼你應該總是在時間的Windows更新並保持最新. 請記住,這些更新關閉,通過該病毒可以進入您的計算機系統中的安全漏洞. 確保您的操作系統本身並沒有過時,而且是正式支持, 例如, Windows XP中, 遠景, 7 不再支持.
- 惡毒
各種可疑的網絡資源可能包含惡意腳本或超鏈接可以感染你的系統. 我們的建議 – 避免前往非法內容的P2P網站和網站 (盜版軟件, 電影, 音樂). 只使用合法服務,並記住 – 有沒有免費的午餐在這個世界上.
- RDP
網絡罪犯經常濫用內置Windows功能-遠程桌面協議,以勒索軟件感染計算機。. 那樣, 他們訪問目標計算機遠程和手動安裝病毒. 為了避免通過RDP感染, 你應該設置從不同 3389 TCP端口,並使用更強大的密碼.
如何防止勒索系統?
沒有人是安全的感染與秘密加密你的數據的病毒. 但為了盡量減少這種風險, 你需要遵循的規則:
1. 時間總是讓Windows更新並保持最新. 請記住,這些更新關閉,通過該病毒可以進入您的計算機系統中的安全漏洞.
2. 為了避免數據丟失最有效的方法當然是讓所有的重要數據進行備份從您的計算機. 這是濫竽充數必要的文件夾與雲服務同步一個, 以免害怕看到需要的解密密鑰交換支付比特幣的文本. 它可以是一個雲或網絡上的一個遠程的硬盤驅動器. 如果您將所有文件存儲在互聯網上, 病毒感染的可能性會更低. 不要複製到外部硬盤驅動器, 因為這可能會損害他們.
3. 由於垃圾郵件是傳播勒索型病毒的最普遍的形式, 用戶時,應首先從不打開電子郵件附件具有防病毒掃描他們. 只需點擊鏈接或打開附件可能破壞操作系統 (視窗) 幾分鐘, 破壞重要數據和感染其他機器有病毒.
3. 勒索型病毒經常爬進使用遠程桌面協議系統 (RDP). RDP是一個合法的和有用的特徵,其允許用戶採取的遠程計算機或虛擬機的控制通過網絡連接. 但, 同時, 這是它的致命弱點,因為它的安全很差,有很多漏洞,能夠讓黑客很容易進入受害者的計算機. 在這種情況下, 我們建議您設置從不同 3389 TCP端口,並使用更強大的密碼. 另外,你可以保護自己免受病毒穿透通過與可靠的防火牆的幫助,如RDP連接 GlassWire的防火牆
如果發現可能是 中毒情況..電腦強制關機 .主機送回MIS查修
***MIS資安通告***
近日來.有新聞報導 勒索病毒 再現
中油30年來大規模駭攻!中油Pay、捷利卡全停擺
記憶體封測廠遭勒索病毒攻擊!
群創遭勒索病毒攻擊
如果發現可能是 中毒情況..
1.電腦強制關機
2.打電話通報MIS >> 電話:(07)6113484_分機372
3.主機送回MIS查修 >>高雄市橋頭區糖廠路24號 物四倉
謝謝
緊急處理加密勒索軟體威脅7原則
原文網址 https://ithome.com.tw/tech/101366
現在的加密綁架軟體很可惡!會向受害者勒索金錢,並限時3天內付贖金,甚至要求以虛擬貨幣比特幣付款,才能得到可解開加密檔案的私鑰,否則,銷毀私鑰讓受害者再也沒有機會救回檔案
現階段,大多數的加密勒索軟體都是透過釣魚郵件入侵,若使用者風險意識不夠,就很可能受害,導致檔案無法存取。
從大多數的加密勒索病毒的執行過程來看,一般都是會向遠端遙控C&C主機取得加密金鑰,再暗中加密受害電腦中的檔案,像是先使用AES加密檔案,再用非對稱金鑰RSA加密來將AES金鑰加密,且金鑰長度是2048位元,使用戶難以用暴力方式解開加密,因為即便用超級電腦,都要運算個好幾年才能達到目的。
當用戶電腦中的重要檔案,像是Word、Excel、PowerPoint、PDF、JPG檔,等近百種常見檔案格式,都被惡意加密後。加密勒索病毒就會跳出要求付贖金的勒索訊息,並限期在很短時間內(像是3天)就要給付,否則銷毀金鑰,讓用戶再也無法解開檔案。同時,勒索給付方式上,為了更隱匿蹤跡,會要求以比特幣等金流機制來給付,才能取得解密金鑰。
當使用者看到勒索訊息時,同時也會發現,無法開啟被加密的檔案,文字檔即便開啟,也會是亂碼顯示。而且,新的變種加密勒索軟體,甚至連檔案名稱也能加密,這將使用戶無法分辨哪些檔案無法使用,可能更影響使用者心理狀態,讓用戶焦慮而順從付款。
加密勒索緊急應變之道
遭受加密勒索軟體入侵後,真的沒有辦法破解嗎?是的,大部分的加密勒索軟體,若都是經由2,048位元RSA和AES加密,幾乎已經不可能自行暴力破解救回檔案。
另一方面,從防毒廠商趨勢的統計資料看出,中小企業為受害對象的比例明顯增加,一旦中小企業真的面臨這種加密勒索威脅時,該如何面對與解決呢?
處置準則1 中斷網路連線
最近,網路上有不少人詢問,中了勒索軟體該怎麼辦的訊息。防毒廠商趨勢、賽門鐵克等專家的建議都是,先中斷該臺電腦的網路連線,避免災情可能擴大,這是最簡單易做的處理方式,雖然大多數使用者意識到被加密勒索軟體綁架時,通常災害也已經發生了,但將受害主機隔離這個步驟,仍是不可少的首要處置動作。
檔案無法使用,用戶心急是一定的,公司負責IT相關工作的人員,可以先嘗試了解當事人使用情況,像是是否點選可疑的電子郵件,瀏覽了哪些網站,即便使用者不太記得,但也算是多一些參考的資訊。請記得,溝通需要多點耐性,並安撫受駭電腦的使用者,而不是一味指責。
處置準則2 即刻發現,應立馬關機
若是使用者能夠即時發現,自己電腦中的檔案正在被惡意程式加密,達友科技林皇興表示,這時首要的動作是關機,立刻持續按壓電源鍵,強迫電腦進行關機動作。之後可將該臺電腦的硬碟取出,透過外接方式將其中的未被加密的檔案保存下來。他們也實際這麼做過,結果成功防止其他檔案繼續被加密。但也要提醒大家的是,過程中千萬不能去點選那些已經被加密的受害檔案。
處置準則3 緊急宣導、清查不可少
就這次我們訪問的防毒、資安廠商等,在他們所接觸到的例子中,大多數加密勒索病毒的感染途徑,都是經由釣魚郵件入侵。
因此,在狀況發生的當下,負責IT相關的人員也要立即跟其他部門或同事宣導,提升大家的警覺性,並一一檢視各臺電腦是否也有受害,並通知所有同仁有狀況立即回報。
甚至,IT人員自行寄送可疑郵件的測試方式,了解是否還有同事沒有提高警覺,以便能針對進行教育訓練,像是教導他們可疑郵件的分辨方式,提醒不要亂點標題聳動的信件,避免點入可疑連結,內文中有亂碼顯示的要特別注意,應多仔細檢查郵件內容。
處置準則4 評估災情
評估災情是相當必要的一點,知道哪些資料被加密了,才能了解企業損失範圍與嚴重性,同時也要清查這些檔案是否有備份,是否能夠將檔案復原。
萬幸的是,現在也有一些防毒、網路與資安等廠商,例如卡巴斯基、Cisco、Bitdefender與FireEye,已經針對加密勒索軟體推出解密工具與網站,像是中了CoinVault、Bitcryptor、TeslaCrypt、Linux.Encoder.1與CryptoLocker的受害用戶,就有機會能將檔案解密。儘管,這些工具並不一定保證可以復原檔案,但總是多個機會。然而,要注意的是,也不要病急亂投醫,找到假的解密網站,使用戶再次受害。
處置準則5 系統重灌,但軟體防護要更注意
若是災情不大,沒有太多重要檔案被加密,或是都有安全備份可以將檔案復原,僅有部分資料需重建,此時,多半使用者會選擇將被感染的電腦硬碟格式化,重灌系統,讓電腦回復成乾淨的原始狀態。
然而,最好在重灌前,也清查受害電腦本身的預防措施,像是Windows作業系統是否安裝更新程式,是否安裝防毒軟體,防毒軟體的防護功能是否全部都開啟。因為,除了已知病毒的防護,還要提升未知病毒與最新攻擊的防護力。而且,多數企業防毒軟體在預設上,通常不會將功能全開,主要是這會影響效能,雖然這樣提供使用者選擇的彈性,但無形中也產升一些風險,因為並不是每個用戶能自己衡量並注意。其他還需要留意的像是Java、Adobe Flash、IE瀏覽器等,有沒有更新到最新版本。
這有助於了解受害當時電腦本身的風險與狀態,也期望避免該電腦與其他公司電腦,因為同樣的漏洞而再感染。
處置準則6 保存現場狀況,請求支援
如果想找防毒、資安專家進一步協助,他們也都有提供產品的售後服務,請他們協助了解受害情況也是一種方式。同時,記得也要保存一臺受害主機,以便提供分析環境。
至於是否需要留下當成證據,期待未來能夠成為求償的物證,目前並沒有很好的答案,因為勒索軟體的犯罪偵查有其專業及複雜性,對於一般企業似乎難有即刻的效益。
不過,像是國外FBI探員也曾表示,他們也很希望能收集勒索詐騙的訊息,並希望能夠及時了解這些詐騙的不斷發展。國內負責電腦犯罪的相關單位,則是刑事警察局偵九隊。
處置準則7 沒有辦法中的辦法:付贖金
該不該付贖金,是讓多數受害用戶兩難的問題。基本上,各方面專家的回答都是不建議的,因為這將助長犯罪,更讓惡意駭客為所欲為。
但實際上,企業若是評估災情後,發現影響甚大,有許多重要文件損失,在沒有任何有效辦法的情形下,若只要花不多的金錢就有機會取回,使用者很可能就會買單。但要注意的是,付了款,不一定就能拿到解密金鑰。
在現實生活中,勒索行為已經觸及刑法範疇,只是,網路勒索犯罪都是跨國的事件,加上匿蹤手段高,難以追查,多數人的普遍認知,也都了解這種加密勒索難以追查、破解,因此普遍專家也都沒有針對報警、備案一事給出明確回應,即便美國FBI探員也在有提及,花錢消災是解密資料的最快方法。這也顯示加密勒索威脅的惡劣,需艱難面對。
另外,依據臺灣金融機關的規定,遭遇資通安全事件時,金融機構需有通報的動作,告知上級主管機關金管會,但大多數機關單位則沒有這樣的要求。通常只能求助於資安或防毒公司。
若真的沒有辦法,若使用者真的需要購買比特幣支付贖金,其實,臺灣現在遍布全國的全家便利商店的FamiPort,就與提供比特幣交易服務的BitoEX合作,在這種尷尬的情境下,這樣的便利性也不知道是好還是不好。
附帶一提的是,根據調查,初期勒索的金額平均約是372元(12美元)左右,而目前一把解密金鑰的基本價格,已將近18,600元(600美元)。
搶救只是權宜之計,預防更加重要
當然,普遍中小企業可能受至於人力、成本與規模,無法像大公司能夠導入或規畫完整的資安防護,絕大多數都處於有狀況才對應,也只能進行部分對應,或者是安全機制管理規則或方針,雖然已經決定,卻不知是否確實施行。
對勒索攻擊來說,企業是非常吸引人的攻擊目標。不論企業規模大小,如果沒有相應的安全措施,曝險程度高。而且,加密勒索也只是所有資安的一部份,中小企業至少要能做到基本該做的,像是面對加密勒索威脅時,人員資安意識、軟體系統更新,以及檔案備份,就是很重要的三大步驟,尤其是安全備份這一塊,才能降低加密勒索的風險。面對加密勒索軟體不斷更新、進化,使用者勢必要提高警覺,才不會讓工作成果付之一炬。
網頁型詐騙病毒
各位同仁好
目前最近有發生網頁型詐騙病毒,如下圖,
如有出現該畫面請直接關閉網頁,請勿點選畫面中的確定或更新按鈕,並執行電腦掃毒作業,謝謝。
