安全是有分量的

国内高防cdn_服务器防御软件_零误杀

2021-08-24 00:10栏目:网络

Magniber勒索软件是由安全研究人员Michael Gillespie首次发现的。这是一种加密勒索软件,旨在加密个人数据和文件。目前,它只针对韩国和亚太地区的用户。勒索软件主要由Magnitude exploit kit分发,这是Cerber勒索软件过去的主要分发工具。

监控网络上的文件活动

在检测网络上的任何勒索软件变体之前,开发防御ddos,您需要监控文件和文件夹活动。最简单的方法之一是监视进出网络文件服务器的网络流量。大多数受管交换机支持SPAN或镜像端口,php怎么防御cc,这些端口允许您从文件服务器获取进出网络数据包的副本。

一旦您有了数据源,您就可以使用像我们自己的LANGuardian这样的工具从网络数据包中提取文件和文件夹元数据。元数据包括文件名、操作和用户名等内容。除了监控与文件服务器相关的流量,我们还建议您监控网络周边的所有流量。勒索软件需要与外部世界通信,因此在检测勒索软件活动并发出警报时,网络边缘的可视性非常重要。

如何检测Magniber勒索软件的存在

Magniber勒索软件针对特定的文件扩展名。当遇到目标文件类型时,它将加密该文件,免费ddos云防御,并将扩展名.ihsdj或.kgpvwnr附加到加密文件的名称后面。注意网络文件共享中有没有扩展名类似于这些的文件。如果您发现任何问题,您需要将创建这些问题的客户端从网络上删除。

下图显示了需要注意的问题示例。它是通过使用LANGuardian Windows File Shares::Filenames by Actions报告生成的,以关注扩展名为.ihsdj或.kgpvwnr

的任何文件。在加密数据时,Magniber将在加密文件的每个文件夹中创建一个名为READ_ME_FOR_DECRYPT_[id].txt的赎金便笺。该ID对您来说是唯一的。创建这些文本文件的任何客户端都需要从您的网络中删除,并永久阻止或重新安装。

下图显示了需要注意的内容示例。它是使用LANGuardian Windows File Shares::Filenames by Actions报告生成的,用于关注名称中包含此文本字符串的任何文件。

对于网络文件共享上的活动,文件重命名不是常见的操作。在正常的一天中,即使您的网络上有数百名用户,您也可能只需要少量重命名。当勒索软件攻击时,当您的数据被加密时,它将导致文件重命名的大量增加。

您可以使用此行为触发警报。如果重命名次数超过某个阈值,则可能存在勒索软件问题。我们建议您以每秒4次或更多重命名为基础发出警报。

下面的视频显示了如何设置LANGuardian趋势图,然后您可以使用该图创建警报。它还演示了如何设置文件活动监控报告,该报告显示任何扩展名已知与勒索软件关联的文件名。

Tor是用于启用匿名通信的免费软件。该名称源自原始软件项目名称"洋葱路由器"的首字母缩略词。Tor通过一个免费的、全球范围的,志愿者覆盖网络由7000多个中继组成,用于向任何进行网络监视或流量分析的人隐藏用户的位置和使用情况。

Magniber勒索软件使用基于TOR的支付系统,称为My Decryptor,位于TOR url[受害者id]。ofotqormsrdc6c3rz.onion。本网站将提供有关赎金金额、必须支付的比特币地址以及如何购买比特币的信息。

因为IDS系统可以检测到您网络上存在TOR客户端。虽然TOR客户端不是勒索软件活动的迹象,网络安全工具,但您应该考虑将其从网络中删除,或者找出用户需要使用此类服务的原因。下图显示了一个值得注意的示例。

担心勒索软件?下载LANGuardian today的免费试用版

如果你想检查你的网络是否有勒索软件活动的迹象;在这里下载30天的LANGuardian免费试用版。这包括一个预先配置的勒索软件仪表板,web防御ddos,因此您可以立即看到任何可疑活动。