伺服器的重大威脅:XTBL敲詐者木馬加密破壞文件

2016-11-12 14:37:35 來源:中國廣播網 作者:佚名 責任編輯:高靜 字號:T|T
摘要】11月上旬,國內有不少伺服器遭遇一個名為XTBL的敲詐者木馬入侵,中招後伺服器上的文檔、壓縮包、圖片等文件均遭到加密,尾碼名也被修改為XTBL,並被勒索繳納贖金解密。防止XTBL敲詐者木馬入侵伺服器,首先應提高自身的安全意識,及時給伺服器修補漏洞,並設置高強度登陸密碼。
   11月上旬,國內有不少伺服器遭遇一個名為XTBL的敲詐者木馬入侵,中招後伺服器上的文檔、壓縮包、圖片等文件均遭到加密,尾碼名也被修改為XTBL,並被勒索繳納贖金解密。記者從360反病毒中心處了解到,該敲詐者木馬可能是攻擊者利用伺服器弱密碼爆破等方式入侵後直接運作感染的。

圖:感染XTBL敲詐者木馬後的桌面截圖

  360反病毒中心發佈的報告顯示,XTBL是一款專門針對Windows伺服器的敲詐者木馬,最早出現于2015年,不過當時只在小範圍傳播,並未大面積影響國內伺服器。但自今年六月起,國內有伺服器開始出現XTBL敲詐者感染跡象,而且還出現了多個變種,11月上旬尤其活躍。

  根據受害者的伺服器登陸日誌以及文檔最後修改時間調查,伺服器感染敲詐者木馬之前一段時間曾遭到疑似爆破登陸。駭客入侵伺服器後釋放敲詐者木馬程式,而敲詐者木馬在加密文檔的同時枚舉網路資源,搜尋工作組和域內所有共用伺服器的共用資源,並對其進行加密,以達到二次傳播的效果。

圖:XTBL敲詐者木馬的攻擊流程

  XTBL的整個加密過程也分為兩條線,一條加密本地文件,一條加密網路資源中的共用文件。當然,XTBL木馬在開始加密之前,也會刪除電腦中的卷影備份,因此,感染上XTBL敲詐者木馬唯有繳贖金或者棄用資料兩條路可以選擇。

  另外,XTBL木馬還會很“精明”地辨別文件大小選擇加密方式:小文件(0x180000字節以下)就直接開始加密,並重命名;大文件(0x180000字節以下以上)則創建新文件加密舊文件,然後再寫入新文件刪除舊文件,以此達到簡化的目的,行為十分狡猾。

  XTBL木馬試圖加密的文件類型有很多,包括exe,dll,doc,docx,pdf,xls,xlsx,ppt,zip,rar,bz2,7z,dbf,1cd,jpg等絕大多數用戶常用的文件類型。被感染的文件尾碼名也被修改為“XTBL”,文件名中還附帶上駭客的郵箱,用以接收受害者繳納的贖金。

  據360安全專家建議,XTBL敲詐者木馬傳播的根源在於伺服器遭到入侵,而造成伺服器被入侵的根源很可能是弱密碼被爆破。因此,防止XTBL敲詐者木馬入侵伺服器,首先應提高自身的安全意識,及時給伺服器修補漏洞,並設置高強度登陸密碼。

              熱搜資訊