新勒索病毒 MongoLock 爆發 可自動刪除資料兼敲詐 Bitcoin 贖金

 2019-01-18     科技

日前台灣企業資料防護與網絡保安方案廠商趨勢科技,有部落格文章指新勒索病毒 MongoLock 現正來襲,提醒大家務必小心中毒。只因中了 MongoLock 勒索病毒的電腦,會在感染期間自動掃描和刪除檔案,並將可用的備份磁碟格式化,同時該勒索病毒也會要求受害者在 24 小時內支付 ₿0.1 Bitcoin 比特幣,以取回據指在黑客手上的檔案。

趨勢科技部落格文章提到,新 MongoLock 勒索病毒在 2018 年 12 月開始出現,在廠商的監控資料數據中,可見香港、台灣、韓國、英國、德國、美國、加拿大和阿根廷等地,是中毒數量最高的地區。新勒索病毒 MongoLock 跟大家平常遇見的勒索病毒不同的地方,是當中攻擊用家電腦時,不是將電腦進行加密,而是自動掃描和刪除存於桌面、最近、我的最愛、音樂、影片和資源回收筒等位置的檔案,並且會將可用備份磁碟格式化,而途中會將勒索通知加到資料庫中。

趨勢科技分析勒索通知所見,被刪除檔案的副本,會用已加密的 HTTPS 協定上傳到一個網址,並從追蹤電子郵件中知道,當中會託管在 ToR 網路內的命令與控制(C&C)伺服器。而中毒電腦在離線後仍會繼續刪除檔案,務求讓檔案無法復原。值得留意的是,在趨勢科技的沙盒分析中,並未發現資料庫有被掃描和搜尋的跡象,可能代表資料刪除只針對在特定位置內找到的實體檔案。

為了防範勒索病毒來襲,趨勢科技建議企業該重新審視現行雹腦安全政策,確保安全軟件已部署妥當,能發揮相應作用,同時線上資料庫、伺服器設定也應做足防護。至於防範措施方面,趨勢科技提供了 3 大方案。

1、進行系統及軟件更新,避免成為黑客入侵目標。

2、使用 3-2-1 備份機制,即最少製作 3 個備份,分別存放在兩種不同的儲存媒體,當中有最少 1 份應放在外地保存。

3、使用能夠掃描和封鎖惡意網址的多元安全解決方案。