近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了利用某財(cái)務(wù)公司任意文件上傳漏洞被勒索攻擊的信息。亞信安全經(jīng)過對(duì)公開的IOC和相關(guān)案例進(jìn)行研究分析，目前已支持檢測(cè)并攔截上述勒索攻擊。

• 亞信安全云病毒碼版本17.781.71已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本：

• 夢(mèng)蝶云病毒碼已經(jīng)能夠查殺，檢測(cè)名Malware.Common.Agent：

• 亞信安全云病毒碼版本17.781.71已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本：https://console.box.lenovo.com/l/u1Fe3g

• TDA 7.0以上版本防護(hù)規(guī)則如下：

  → NGIDS 146及之前的版本可通過規(guī)則 103031000 調(diào)用通用集合函數(shù)的序列化Java對(duì)象進(jìn)行檢測(cè)；

  → NGIDS 147新增規(guī)則 103044192 

• DS自定義規(guī)則支持檢測(cè)

• 全面部署安全產(chǎn)品，保持相關(guān)組件及時(shí)更新；

• 不要點(diǎn)擊來源不明的郵件、附件以及郵件中包含的鏈接；

• 請(qǐng)到正規(guī)網(wǎng)站下載程序；

• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

• 盡量關(guān)閉不必要的端口及網(wǎng)絡(luò)共享；

• 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

樣本作為aspx頁面的后臺(tái)處理組件存在，對(duì)來自前端的請(qǐng)求進(jìn)行解析。下圖中可知，處理邏輯會(huì)對(duì)http請(qǐng)求進(jìn)行解析，并對(duì)特定內(nèi)容解密后使用Assembly進(jìn)行加載，并創(chuàng)建實(shí)例運(yùn)行（運(yùn)行的內(nèi)容為勒索病毒）。