关于 WatchDogsMiner挖矿蠕虫感染服务器的预警

近日, 一款最新的勒索病毒( Sodinokibi)正在通过 Oralce Weblogic Server 中的反序列化漏洞(CVE-2019-2725)传播。具体情况通报如下:

一、病毒详情

病毒名称:Sodinokibi

病毒性质:勒索病毒

危害等级:高危

传播方式:通过Oralce Weblogic Server 中的反序列化漏洞(CVE-2019-2725)传播,也可以通过 RDP 爆破传播。

二、 监测情况

根据分析,该病毒执行后,除了加密文件外,同时会进行删除源文件、修改系统配置、删除卷影副本、增加后缀名为随机字母数字共 7 位等多种恶意行为,并在桌面上生成文件加密后缀名+readme.txt 的勒索信息文档,提示受害者如何缴纳赎金获取解密工具。访问恶意软件作者提供的域名,输入感染 ID 序列号和文件后缀名会跳转到缴纳赎金的网页。据此,2019年 5 月 7 日至 2019 年 5 月 14 日,上海互联网应急中心监测发现上海境内每日均有不同数量的上海境内用户访问勒索病毒服务器 IP 地址。其中,5 月 13 日病毒传播情况最为严重,疑似感染用户 IP 数量为 60 个。 Sodinokibi 勒索病毒在电信线路内传播情况较为严重,46.4%的 IP 地址连接均来自于电信用户。

三、 病毒防御

1.及时备份重要文件,且文件备份应与主机隔离;

2.及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;

3.尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;

4.对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;

5.定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机;

6.Sodinokibi勒索软件利用 Weblogic 反序列化漏洞实现传播, 建议及时针对 Weblogic 组件安装安全补丁,更新到最新版本;

7.Sodinokibi 勒索软件利用 RDP(远程桌面协议)暴力破解机器的密码实现传播,建议关闭 RDP,停用 3389 端口或加强远程桌 面密码复杂度并修改远程桌面的默认 3389 端口为其他 5000 以上端口。

发布单位:上海市通信管理局

支撑单位:上海互联网应急中心