勒索、挖礦同時下手，這個Satan變種病毒有點「牛」

雷鋒網3月3日消息，騰訊御見威脅情報中心發現Satan病毒最新變種，該變種病毒針對Windows系統和Linux系統進行無差別攻擊，然後在中招電腦中植入勒索病毒勒索比特幣、同時植入挖礦木馬挖礦門羅幣。

研究人員稱：「病毒入侵系統後，同時植入勒索病毒和挖礦病毒的情況十分罕見，甚至令人舉得匪夷所思。這是因為挖礦病毒需要較長時間潛伏，生存時間越長，收益越大；而勒索病毒一旦加密用戶數據，便會很快被用戶注意到。用戶一旦發現系統中了勒索病毒，往往會檢查系統進行病毒查殺，或者將系統從網路斷開，挖礦病毒便會難以藏身。

那麼，這個Satan病毒最新變種是如何做到「雙重攻擊」的呢？經研究後發現，一方面，該病毒會在中招的Windows電腦中植入攻擊模塊conn.exe，該模塊通過使用永恆之藍漏洞對區域網Windows電腦進行攻擊；另一方面，病毒會通過利用JBoss、Tomcat、Weblogic、Apache Struts2多個組件漏洞以及Tomcat弱口令爆破對Windows、Liunx伺服器進行攻擊；並在中招的Linux機器上植入攻擊模塊conn32/conn64，通過上述方式針對Linux系統利用SSH弱口令進行爆破攻擊。

至此，最新的Satan變種木馬的攻擊方式會導致相應的勒索、挖礦木馬同時在Windows系統、Linux系統中進行蠕蟲式傳播。簡單總結其攻擊過程，就是母體fast.exe在攻擊成功後首先被植入，作為downloader運行後下載勒索模塊cpt.exe，挖礦模塊srv.exe以及攻擊模塊conn.exe。

安全建議

1.伺服器暫時關閉不必要的埠（如135、139、445），方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html

2.下載並更新Windows系統補丁，及時修復永恆之藍系列漏洞

XP、Windows Server 2003、win8等系統訪問：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統訪問： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3.定期對伺服器進行加固，儘早修復伺服器相關組件安全漏洞，安裝伺服器端的安全軟體

4.伺服器Tomcat後台登錄、SSH登錄使用高強度密碼，切勿使用弱口令，防止黑客暴力破解

5. 使用安全軟體攔截可能的病毒攻擊

參考來源：騰訊御見威脅情報中心

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！