事件背景

8月29日，江民反病毒監(jiān)測中心監(jiān)測到一起惡意勒索攻擊 ，疑似利用國內(nèi)頭部ERP廠商軟件系統(tǒng)進行傳播，預(yù)估國內(nèi)來自該勒索病毒的攻擊案例已超2000余例，且該數(shù)量仍在不斷上漲，該攻擊存在于未做必要安全防護或使用Windows2016+IIS10.0以下版本的服務(wù)器，被病毒攻擊之后，文件被鎖無法打開。經(jīng)江民反病毒實驗室追蹤并分析樣本，確認為利用0day漏洞上傳惡意文件造成投毒，病毒利用webshell反射式加載執(zhí)行加密的惡意代碼。

漏洞概述

目前，官方目前還沒有發(fā)布針對于該漏洞的補丁。

樣本分析

解決方案

1). 對重要數(shù)據(jù)的文件進行磁盤備份。
2). 對系統(tǒng)或者軟件進行及時更新打補丁。
3). 定時對機器進行全盤查殺。
4). 安裝江民殺毒客戶端進行實時防護。

 
江民安全專家建議：對于已經(jīng)中毒的用戶，首先必須切斷被加密機器的網(wǎng)絡(luò)，保存現(xiàn)場環(huán)境，避免重啟、重裝、格式化等操作。通過windows日志和事件來進行溯源排查，對其他關(guān)鍵服務(wù)器進行加急備份，排查是否存在被攻擊現(xiàn)象。關(guān)注權(quán)威新聞，等待官方補丁通知并及時更新。