?安全研究人員最近發現了一個新的無文件勒索病毒, 被稱為“Sorebrect”，它將惡意代碼注入到目標系統的合法進程svchost.exe中, 然后自毀以躲避檢測。

　　與傳統的勒索病毒不同，Sorebrect主要針對企業的服務器和終端。病毒會同時感染本地文件和網絡共享上的文件，對這些文件進行加密。

　　這一無文件勒索病毒首先會破壞管理員憑據, 然后使用微軟的Sysinternals PsExec 命令行實用程序對文件進行加密。雖然攻擊者可以使用遠程桌面協議（RDP）和 PsExec 在受影響的機器中安裝 Sorebrect 惡意軟件，但與使用 RDP 相比，利用 PsExec 更為簡單。PsExec 可使攻擊者能夠執行遠程命令，而非使用交互登錄會話或將惡意軟件手動傳輸至遠程機器設備。

　　可感染網絡共享中的文件

　　Sorebrect同時可以掃描網絡上其他計算機的共享文件并鎖定這些文件。如果網絡上其他計算機的某個共享，被設置為任何人都有讀寫訪問權限, 那么該共享的文件也將遭到加密。

　　勒索軟件隨后會在受感染的計算機上使用wevtutil.exe刪除所有事件日志，并使用vssadmin刪除所有卷影副本。而這二者正是判斷病毒感染及發作時間的關鍵性證據。

　　此外，勒索軟件 Sorebrect 可利用 Tor 網絡匿名連接至命令與控制（C＆C）服務器中，從而防止追溯。

　　全球范圍內廣泛傳播

　　無文件勒索軟件Sorebrect專門針對各種行業的系統（包括制造、技術和電信）進行攻擊。

　　根據趨勢科技的調查顯示，Sorebrect最初以中東國家為目標，但從上月開始, 這一威脅已經蔓延到加拿大、中國大陸、克羅地亞、意大利、日本、墨西哥、俄羅斯、中國臺灣和美國。

　　研究人員指出：“考慮到勒索軟件潛在的破壞力和非法盈利能力，Sorebrect很可能出現在全世界的其他地區，甚至有可能在地下黑市被出售?！?/p>

　　然而，這并不是研究人員首次遇到無文件惡意軟件。在兩個月前，Talos的研究人員就發現過一個完全無文件的DNS Messenger攻擊, 并使用了DNS txt消息傳遞功能來破壞系統。

　　今年2月，卡巴斯基的研究人員還發現了無文件的惡意軟件，這一惡意軟件以近40個國家的銀行、電信公司和政府機構為攻擊目標。

　　防范方法

　　由于勒索病毒不僅僅針對個人，也會攻擊組織及企業，相關的系統管理員和安全工程師可以采取下列方法進行防范：

　　· 限制用戶的讀寫權限：如果將所有權限隨意授予給普通用戶，會使網絡共享存在較大風險，因此需要授予不同用戶不同的權限。

　　· 限制PsExec的權限: 限制PsExec, 并且只允許系統管理員運行它們。

　　· 定期更新操作系統及網絡: 始終保持操作系統、軟件和其他應用程序的更新。

　　· 定期進行數據備份: 對所有重要的文件和文檔進行定期備份，將數據備份到不經常連接計算機的外部存儲設備。

　　· 培養員工的安全意識：對員工進行惡意軟件、威脅情報和安全措施的培訓，這一點也同樣至關重要。

責任編輯：韓希宇