近期,出现了一款新的勒索软件Snake。(也被称为EKANS,是“snake单词”从后往前的字母组成)。
EKANS的主要目标是工业控制系统(ICS)环境,针对的不是单个机器,而是整个网络。它能够停止与工业控制系统(ICS)操作相关的许多流程应用程序。
目前尚不清楚,针对以工业组织为目标的勒索软件,其背后的主谋是国家赞助的黑客,还是寻求经济利益的真正的网络犯罪分子。但是Sentinel One的研究员Vitali Kremez在早些时候首次公开了EKANS的发现,一群被称为恶意软件猎杀团队的研究人员认为,工业控制系统是勒索软件攻击者的天然目标。像医院和政府一样,如果这些工业控制系统停服,则会造成无法估量的损失。
感染进程和相关技术特点
EKANS是一种用Go编程语言编写的混淆勒索软件变体,于2019年12月下旬首次在商业恶意软件存储库中观察到。它旨在终止受影响计算机上的特定进程,包括与ICS操作相关的多个项,以及删除卷影副本以消除Windows备份。
EKANS的入口点是不安全的RDP配置。它通过垃圾邮件和恶意附件分发,但也可以通过僵尸网络、攻击包、恶意广告、web注入、假更新以及重新打包和受感染的安装程序来传播。
根据分析,EKANS在执行时会删除计算机的卷影副本,然后杀死与SCADA系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等相关的众多进程。
恶意软件会检查受害者系统上是否有互斥量值“EKANS”。 如果存在,勒索软件将停止并显示一条消息“已经加密!”。否则,将设置互斥量值,并使用标准的加密库函数继续进行加密。受害者系统上的主要功能是通过Windows管理界面(WMI)调用实现的,该调用开始执行加密操作并删除受害者上的卷影复制备份。
在继续进行文件加密操作之前,勒索软件会强制终止(“杀死”)按进程名称列出的进程,该进程名位于恶意软件的编码字符串内的硬编码列表中。一份完整的清单,其中包含评估的过程功能或关系,如下所示:
加密受感染计算机上的文件时,它将跳过存放在Windows系统文件夹中的文件:
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\
windir
它将在加密的文件扩展名以及“EKANS”文件标记后面附加一个随机的5个字符字符串。加密过程通常很慢,实际感染会在非工作时间内完成。
完成加密过程后,它将丢出一张名为“Fix Your Files.txt”的勒索便条。
加密后的系统不影响用户访问,并且系统不会重新引导、关机或关闭远程访问通道。这使EKANS与更具破坏性的勒索软件有明显的区别,例如2019年3月在挪威铝业公司Norsk Hydro部署的LockerGoga变种。勒索软件中的电子邮件地址使用类似于隐私的电子邮件服务,类似于Protonmail,称为CTemplar。
Acronis主动保护可成功拦截!
虽然仍在研究这个勒索软件的弱点,但此时*受其影响的数据都无法解密。
值得庆幸的是是Acronis主动保护(Active Protection)是集成到我们的网络保护解决方案中的基于人工智能的反恶意软件防御技术,能够实时检测EKANS并停止恶意进程,同时还能还原*受影响的文件。并运行Acronis Active Protection的系统可成功地将EKANS勒索软件检测为零日攻击,并阻止其跟踪。并且,此外,Acronis Active Protection包括自防御机制,备份代理及其创建的备份。详情如下:
Acronis是业界首个将基于AI的防恶意软件防御技术集成到期备份解决方案的厂商,并不断加强该技术已应对不断变化地当下及将来的威胁。Acronis除了集成主动防御技术外,还提供了安全区,备份验证、区块链等安全机制,为企业数据提供更全面、更稳固的数据防线。
IT解决方案:
工控机备份,整机备份
存储雷电MAS/DAS /SAN/JBOD/IPSAN ISCSI 解决方案
企业级存储 解决方案
备份 容灾 数据保护系统 解决方案
防勒索病毒解决方案
光磁电融合存储解决方案
存储应用行业:
企业级存储 磁盘阵列 企业级存储阵列 非编影视后期存储、集群存储、虚拟化存储、高性能云计算存储 iSCSI存储、IP SAN、对象存储、统一存储、非编存储
服务区域:
四川安克诺斯 成都安克诺斯 西藏安克诺斯 重庆安克诺斯 贵州安克诺斯 贵阳安克诺斯 云南安克诺斯 昆明安克诺斯
四川安克诺斯 : 德阳安克诺斯 绵阳安克诺斯 攀枝花安克诺斯 西昌安克诺斯 雅安安克诺斯 内江安克诺斯 资阳安克诺斯 南充安克诺斯 眉山安克诺斯 乐山安克诺斯 自贡安克诺斯 泸州安克诺斯 广元安克诺斯 遂宁安克诺斯 宜宾安克诺斯 广安安克诺斯 达州安克诺斯 巴中安克诺斯 凉山彝族自治州安克诺斯 甘孜藏族自治州安克诺斯 阿坝藏族羌族自治州安克诺斯
贵州安克诺斯:贵阳安克诺斯、六盘水安克诺斯、遵义安克诺斯、安顺安克诺斯、铜仁安克诺斯、毕节安克诺斯 黔南安克诺斯 、黔西南安克诺斯 、贵州黔东南安克诺斯
重庆安克诺斯 合川安克诺斯 南川安克诺斯
潼南安克诺斯 铜梁安克诺斯 长寿安克诺斯 璧山安克诺斯 荣昌安克诺斯 綦江安克诺斯 大足安克诺斯 武隆安克诺斯 垫江安克诺斯 奉节安克诺斯
丰都安克诺斯 城口安克诺斯 巫溪安克诺斯 云阳安克诺斯 酉阳安克诺斯 巫山安克诺斯 梁平安克诺斯 彭水安克诺斯 秀山安克诺斯 石柱安克诺斯 开县安克诺斯
昆明安克诺斯、曲靖安克诺斯、玉溪安克诺斯、 保山安克诺斯、昭通安克诺斯、丽江安克诺斯、普洱安克诺斯、 临沧安克诺斯
文山壮族苗族自治州(文山安克诺斯) 、红河哈尼族彝族自治州(红河安克诺斯) 、西双版纳傣族自治州、(西双版纳安克诺斯) 楚雄彝族自治州(楚雄安克诺斯)、 大理白族自治州(大理安克诺斯)、 德宏傣族景颇族自治州(德宏安克诺斯)、 怒江傈僳族自治州(怒江安克诺斯)、 迪庆藏族自治州(迪庆安克诺斯)
方案适用机型:
个人数据保护软件:Acronis True Image 2020、Acronis Revive 2019、Acronis 防勒索软件 、Acronis VSS Doctor
个人磁盘管理软件:
Acronis Disk Director 12.5 Home
安克诺斯数据保护软件 v12.5:物理、虚拟机、移动、应用程序、工作站、云
服务提供商产品:Acronis SPLA计划、Acronis Cyber Infrastructure 、Acronis Backup Advanced for vCloud、附加Acronis Cloud Storage、Acronis Cyber Cloud for Enterprise、Acronis Cyber Cloud、Acronis Backup Cloud、Acronis Files Cloud、Acronis Notary Cloud、Acronis Disaster Recovery Cloud
企业移动内容管理软件:Acronis Files Advanced 8.5
系统批量部署解决软件:Acronis Snap Deploy 5
企业*磁盘管理软件:Acronis Disk Director Advanced
其他移动性相关软件:Acronis Files Connect、Acronis ArchiveConnect、Acronis Mass Transit
更多数据备份方案请咨询
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ: 1325383361
手机:180 8195 0517(微信同号)