正在加载中...

关闭
请选择需要拨打的号码
关闭
请根据问题类型选择QQ咨询

网站公告

返回
阿里云发布计算机重要安全预警——警惕“UIWIX”的勒索病毒入侵

万维景盛5月19日消息,阿里云安全团队日前监测到一种名为UIWIX的勒索病毒新变种入侵案例,这种勒索病毒与目前正在流行的WannaCry(又名“魔窟”)比特币勒索病毒采用了类似的攻击方式,该变种已经不受开关限制,同样也使用微软公司Windows操作系统的SMB服务漏洞(MS17-010 )进行感染破坏。该勒索病毒会将受害用户文件加密后重新命名,新文件名将带有 “.UIWIX”后缀名。

 

为了避免大范围的用户受到影响,阿里云代理商万维景盛提醒广大所有windows用户及时关闭端口、安装补丁,并提高警惕保持关注。 


2017年5月17日,阿里监测发现一种名为“UIWIX”的勒索病毒新变种入侵案例,该勒索病毒与目前正在流行的“WannaCry”(又名“魔窟”)勒索病毒采用了类似的攻击方式,该变种已经不受开关限制,同样也使用微软公司Windows操作系统的SMB服务漏洞(MS17-010 )进行感染破坏。该勒索病毒会将受害用户文件加密后重新命名,新文件名将带有 “.UIWIX”后缀名。建议所有windows用户及时关闭端口、安装补丁,并提高警惕保持关注。 
经过分析,Uiwix的工作原理与其他勒索恶意类似。加密开始后,它将.uiwix扩展名添加到所有被感染文件。另外,它会投放一个名为“_DECODE_FILES.txt”的文本文件,该文件含有要求支付赎金以解密内容的信息 
 
 
 
 
 
 
 
Uiwix带来的威胁比WannaCry勒索软件还要大,原因在于它不包括kill switch域名,我们对比了UIWIX和WannaCry之间的区别如下: 
 
 
 
 
防御方案: 

  • 阿里云用户尽快使用快照或其他方式备份数据,建议采用异地完整备份所有文件;

  • 为受影响的操作系统安装补丁,下载链接 ;

  • WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,因此建议您立即安装相关补丁(域用户建议通过域控紧急推送微软官方的补丁),修复漏洞。

  • 关闭SMB服务;

复制代码

  1. net stop server

  2. sc config lanmanserver start= disabled

  • 使用安全组策略阻止内网入和外网入方向的445端口;

  • 不要随意点击打开可疑邮件、文件信息;

 
 
如何启用和禁用Windows和Windows Server中的SMBv1、SMBv2和SMBv3? 
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012  
 
 
IOC: 

  • 146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detected as RANSOM_UIWIX.A

  • C72BA80934DC955FA3E4B0894A5330714DD72C2CD4F7FF6988560FC04D2E6494 (SHA256) – detected as TROJ_COINMINER.WN

 
Command and Control (C&C) domains related to TROJ_COINMINER.WN:

  • 07[.]super5566[.]com

  • aa1[.]super5566[.]com