近日,勒索病毒.lucky加密后缀,是新的勒索病毒变种,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,我们将其命名为lucky勒索病毒。
***流程:
传播模块:
conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行***:
1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss默认配置漏洞(CVE-2010-0738)
3.Tomcat任意文件上传漏洞(CVE-2017-12615)
4.Tomcat web管理后台弱口令爆破
5.Weblogic WLS 组件漏洞(CVE-2017-10271)
6.Windows SMB远程代码执行漏洞MS17-010
7.Apache Struts2远程代码执行漏洞S2-045
8.Apache Struts2远程代码执行漏洞S2-057
解决方案
1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2.切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。
3.查找***源:手工抓包分析。
4.查杀病毒:推荐使用360卫士或深信服EDR进行查杀。
5.修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Weblogic WLS 组件漏洞(CVE-2017-10271)、apache Struts2远程代码执行漏洞S2-045、Apache Struts2远程代码执行漏洞S2-057。
关于.lucky后缀勒索病毒数据解密,联系QQ:1378434584
原文地址:http://blog.51cto.com/14137725/2332036