HRM讹诈病毒新变种来袭 腾讯智慧平安支招“解密”

随着网络平安教育的不时普及，群众的防护认识也在逐渐增强。但讹诈病毒的攻击技术也在频繁迭代，假装及隐藏方式也变得愈加多样化且越发荫蔽，让人难以随便地发觉。近日，腾讯智慧平安御见要挟情报中心收到多起讹诈病毒求助，经过察看受益者机器感染现场，发现均为HRM讹诈病毒家族所为。该家族擅长运用钓鱼邮件，RDP(近程桌面管理)爆破等方式停止传达，运用RSA+AES的加密方式，在没有拿到病毒作者手中私钥的状况下，用户文件将无法解密，由此带来的损失可想而知。

(图：HRM讹诈病毒母体假装PDF文档)

其实，HRM讹诈病毒在2017年11月初次呈现，因对加密文件完成后在文件名后添加.HRM扩展后缀，并且会收到来自敲诈者的提示信息，因此将其命名为HRM讹诈病毒。值得一提的是，该家族能避开dll、lnk、hrmlog、ini、exe等扩展名不做加密，剩余的文件皆会被加密。

据平安专家引见，该病毒家族采用的传达方式荫蔽性极强，病毒母领会假装成PDF文档，加壳紧缩且脱壳后有少量代码混杂，以此到达隐藏本身的目的。在此次攻击中，HRM讹诈病毒还具有以下几个明显特征：首先扫除Windows、AhnLab、Chrome、Mozilla、$Recycle.bin等目录;其次反省文件能否曾经被加密，防止反复加密文件;然后会加密网络共享目录下的文件;以及删除卷影信息，删除备份相关文件;最初在桌面翻开讹诈HTML文档，展现讹诈信息。风趣的是，该病毒内还经过查询注册表避开俄罗斯、乌克兰、比利时等国度。

由于该病毒变种采用RDP(近程桌面管理)攻击方式，在攻击者入侵了一个企业网络的近程桌面协议(RDP)端口后，可以应用暴力破解攻击轻而易举地浸透进目的网络，并向特定地位上传讹诈软件。目前，各类讹诈病毒经过入侵RDP来完成讹诈软件攻击的比例越来越大，因而用户需求认识到该破绽的重要性。

为防止此类攻击事情再次发作，腾讯平安反病毒实验室担任人、腾讯电脑管家平安专家马劲松提示广阔企业网管，建议修正管理后台默许页面途径，设置白名单限制登录，修正弱口令密码，防止效劳运转高权限;尽量封闭445、135，139等不用要的端口，对3389，5900端口可停止白名单配置;采用高强度的密码，防止运用弱口令密码，并活期改换密码。建议效劳器密码运用高强度且无规律密码，并且强迫要求每个效劳器运用不同密码管理。

(图：腾讯企业级平安产品御点终端平安管理零碎)

同时，马劲松建议终端以及效劳器部署专业平安防护软件，例如在Web效劳器部署腾讯云等具有专业平安防护才能的云效劳，片面加强企业网络抵挡攻击要挟的才能，以及在全网装置御点终端平安管理零碎。御点终端平安管理零碎具有终端杀毒一致管控、修复破绽一致管控，以及战略管控等全方位的平安管理功用，可协助企业管理者片面理解、管理企业内网平安情况、维护企业平安。