据安全专家称,该恶意软件是通过名为nmon.bat的文件启动的。调用扩展名为.bat的恶意文件意味着警报工具将看到网络中使用了脚本或批处理文件。在许多环境中,这将是允许的文件。
攻击者使用了一个名为KB3020369.exe的文件进行攻击。这很有趣,因为Microsoft知识库编号3020369用于Windows7服务堆栈修补程序。但是,实际补丁程序的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻击者将恶意文件命名为病毒码,并向专业技术人员隐藏。三星笔记本特约维修店
Snake勒索软件从受感染的系统中删除卷影副本,然后杀死与虚拟机,工业控制系统,远程管理工具和网络管理软件有关的进程。第三方研究人员在一份攻击分析报告中指出,攻击顺序是解决本田域内的域。这表明攻击者的目标是本田网络。三星笔记本特约维修店
攻击者通常选择薄弱的环节开始,即人员。他们将隐藏在网络中,直到准备好进行攻击为止,这可能需要几个月的时间。这不包括攻击者在网络基础结构上进行侦察所花费的时间。
以本田遭受的勒索软件为例,用户如何更好地保护Windows网络:三星笔记本特约维修店
当心未经授权的工具,脚本和组策略设置
据网络安全专家称,某些攻击使用预定的任务。用户可以在事件日志中查看类似的未经授权的活动。请按照以下步骤检查本机Windows事件日志:三星笔记本特约维修店
运行eventvwr.msc
转到“Windows日志”。
右键单击“安全日志”,然后单击以选择“属性”。三星笔记本特约维修店
确保选择“启用日志记录”。
将日志大小增加到至少1GB。
查找事件4698事件ID以查找最新的计划任务。
您可以将PowerShell任务设置为在创建并运行新的计划任务时发送电子邮件通知。您可能需要第三方SMTP服务(例如smtp2go.com)来设置警报。此外,您可以使用其他方法来设置通知,或检查审核软件是否提供了此类内置服务。三星笔记本特约维修店
确定容易受到网络钓鱼攻击的员工
为关键用户(尤其是域管理员)提供有趣的自定义电子邮件可以使攻击者能够访问网络内部。特别是在家工作意味着要使用更多的远程访问技术。与操作系统的漏洞相比,标识符在2020年是一个轻松的目标。三星笔记本特约维修店
检查您提供给主要员工的权限和工具。用户可以在公司内部混合使用Microsoft365许可证,因此并非每个人都需要使用相同的许可证或相同级别的保护。忆及需要包含高级威胁防护(ATP)的Microsoft365E5许可证,该服务最近在启用ATP的计算机中包括UEFI恶意软件检测器。正如微软最近指出的那样:“新的UEFI扫描器通过在运行时与主板芯片组进行交互来读取固件文件系统。”MicrosoftDefenderATP还提供了可执行操作的列表:
检查组策略域和脚本文件夹中的恶意文件
攻击者通常从管理员用来管理网络的位置发起攻击。花一点时间验证您保存的文件和脚本位置。检查是否有任何新文件添加到该文件夹进行管理。检查文件夹的适当权限,以确保只有授权用户才能添加或调整这些管理脚本。三星笔记本特约维修店
对特权帐户使用多因素身份验证
最重要的是,当需要远程访问时,请确保域管理员已启用多因素身份验证(MFA)。它还为Microsoft365帐户启用MFA。检查哪些帐户在网络中的哪个位置使用。
查看备份策略
有了良好的备份,您就可以还原被勒索软件锁定的文件而无需支付赎金。定期执行自动备份,并确保备份受到保护。执行备份过程的用户帐户不应与登录用户相同。最后,您的轮换中有一个脱机备份过程,因此该介质可以脱机或脱机,从而防止攻击者删除备份文件。再次强调:拥有备份是从勒索软件攻击中恢复的关键。三星笔记本特约维修店
