Wannacry的風(fēng)潮尚未平息，XData勒索病毒再度來襲。據(jù)安全公司 eset稱，他們檢測(cè)到?bnk/Filecoder AESNI, 也稱為 xdata 勒索, 目前這一威脅在烏克蘭最為普遍, 在5月17日至5月22日期間, 他們探測(cè)到Xdata傳播在5月19日周五達(dá)到峰值，占總量的96%

XData勒索病毒攻擊態(tài)勢(shì)

自5月18日以來, eset 一直在關(guān)注事態(tài)進(jìn)展。據(jù)稱，在?2016年12月8日, ?bnk/Filecoder. AESNI 出現(xiàn)第一個(gè)版本。從AESNI.A variant開始, 一些解密密鑰陸續(xù)被發(fā)布到BleepingComputer.com 論壇上。

XData勒索病毒感染機(jī)制

基于 eset 的研究, XData勒索似乎已經(jīng)通過一個(gè)廣泛應(yīng)用于會(huì)計(jì)的烏克蘭文件自動(dòng)化系統(tǒng)來分發(fā)。處于以往的規(guī)律，目前該勒索病毒的感染率仍然很低, 那么未來攻擊者可能采用某種社會(huì)工程--例如連接到惡意軟件更新--然而, 當(dāng)然現(xiàn)在下結(jié)論還為時(shí)過早。

一旦它感染了一臺(tái)計(jì)算機(jī), 主文件就會(huì)丟棄一個(gè)合法的系統(tǒng)實(shí)用程序-SysInternals psexec，然后執(zhí)行丟棄的勒索樣本 (bnk/Filecoder. AESNI. c.)。

如果使用管理員權(quán)限執(zhí)行, 勒索可以感染整個(gè)網(wǎng)絡(luò)。為此, 它使用 Mimikatz 工具提取管理憑據(jù), 然后使用它們?cè)趦?nèi)部網(wǎng)絡(luò)中的所有計(jì)算機(jī)上運(yùn)行其自身的副本。

如果你感興趣的是為什么XData勒索病毒被稱為 AESNI, 哈，當(dāng)然是因?yàn)樗睦账餍畔⒅谐霈F(xiàn)過

此外, 名稱的別后還有一個(gè)功能，勒索病毒檢查受影響的計(jì)算機(jī)，看看是否支持高級(jí)加密標(biāo)準(zhǔn)指令集 aka aes-ni。如果支持, 他就會(huì)采用硬件加速, 更快地加密受害者的數(shù)據(jù)。

如何抵御勒索軟件的攻擊

在這種情況下, 分離Admin和用戶帳戶有助于防止大部分的損害, 因?yàn)槿绻贏dmin帳戶上運(yùn)行，勒索軟件會(huì)有更多機(jī)會(huì)加密你的數(shù)據(jù)，并在網(wǎng)絡(luò)內(nèi)傳播。沒有管理員權(quán)限, xdata 只能感染一臺(tái)計(jì)算機(jī)而不是整個(gè)網(wǎng)絡(luò)。

下面給你一些建議來保護(hù)自己，抵御勒索軟件的侵害:

• 使用一個(gè)可靠的安全解決方案, 利用多個(gè)層來保護(hù)您在未來免受類似的威脅。
• 確保定期更新您的操作系統(tǒng)的補(bǔ)丁。
• 將文件備份到遠(yuǎn)程硬盤或在網(wǎng)絡(luò)感染情況下不會(huì)感染的位置。
• 切勿點(diǎn)擊可疑或意外電子郵件中的附件和鏈接。

原文發(fā)布時(shí)間：2017年5月24日 本文由：weliveSecurity發(fā)布，版權(quán)歸屬于原作者 原文鏈接:http://toutiao.secjia.com/aesnixdata-ransomware-attack 本文來自云棲社區(qū)合作伙伴安全加，了解相關(guān)信息可以關(guān)注安全加網(wǎng)站

總結(jié)

以上是生活随笔為你收集整理的AESNI/XData勒索病毒来袭 目前主要在乌克兰传播 它居然还能使用硬件加速加密过程...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。