近期,出现一种新型勒索软件“BlackRouter”,开发者将其与正常软件恶意捆绑在一起,借助正常软件的下载和安装实现病毒传播,并以此躲避安全软件的查杀。目前,已知的被利用软件有AnyDesk工具(一款远程桌面工具)。请各部门做好相关安全防护措施,防止网络系统感染病毒。
** 影响范围:需要安装ANYDESK.EXE软件进行远程管理的终端设备。
捆绑勒索病毒的程序文件运行之后,会在临时目录夹同时生成ANYDESK.EXE程序文件和BLACKROUTER.EXE程序文件,其中,前台运行ANYDESK.EXE,后台隐秘运行BLACKROUTER.EXE。随后,电脑中的大部分文件将被加密存储为“.BlackRouter”后缀的文件,并在桌面显示勒索信息。
防护建议:
(一)不从不明网站下载相关的软件,不要点击来源不明的邮件以及附件;
(二)及时给电脑打补丁,修复漏洞;
(三)对重要的数据文件定期进行非本地备份;
(四)安装专业的终端或服务器安全防护软件;
(五)定期用专业的反病毒软件进行安全查杀;
(六)尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389等。
应急处置建议:
同时开展以下紧急处置:
一是立即断开感染病毒终端设备的网络连接,防止威胁事态进一步升级;
二是留存文件操作的所有记录;
三是参考“防护建议”彻底清理病毒文件,确认安全后,再恢复网络连接。