危险预警

克日，，，，，，3377体育网官网入口谛听实验室捕获HelloKitty勒索家族的病毒样本，，，，，，HelloKitty勒索病毒正在使用Apache ActiveMQ远程代码执行（RCE）误差侵入网络并举行勒索攻击。。。。。。该误差被标记为CVE-2023-46604，，，，，，是一个高危RCE误差。。。。。。

HelloKitty勒索病毒自2020年11月最先运营，，，，，，最著名的攻击是针对CD Projekt Red的攻击，，，，，，攻击者加密装备，，，，，，并声称窃取Cyberpunk2077、Witcher3、Gwent等源代码。。。。。。

病毒剖析

该病毒使用png后缀举行伪装。。。。。。

用侦壳软件检测，，，，，，未检测到壳。。。。。。

凭证特征判断为msi文件，，，，，，解压，，，，，，找到病毒主程序

用侦壳软件检测，，，，，，无壳，，，，，，是.NET文件。。。。。。

程序焦点内容为base64转换，，，，，，生涯加载运行。。。。。。

base64转换后，，，，，，看文件内容是pe文件。。。。。。

用侦壳软件检测，，，，，，无壳，，，，，，是.NET文件。。。。。。

建设互斥，，，，，，包管同时只运行一个程序。。。。。。

删除卷影，，，，，，同时杀死以下历程。。。。。。

获取情形变量以及目录的路径。。。。。。

在目录下准备建设相关文件。。。。。。

RSA的密钥。。。。。。

获取主机信息。。。。。。

使用rsa将指定内容加密。。。。。。

将时间、之前获取的主机信息以及指定内容举行拼接，，，，，，使用rsa加密。。。。。。

拼接加密后的信息写入pubkey7.txt。。。。。。

指定内容加密后的信息写入 show7.txt。。。。。。

黑客IP和端口。。。。。。

将主机信息通过get方法发送到黑客后台。。。。。。

探测外地磁盘信息。。。。。。

要加密的后缀名列表。。。。。。

不加密的目录文件名列表。。。。。。

切合特征后准备加密，，，，，，先用rsa将密钥加密，，，，，，写入文件，，，，，，使用Rijndael将文件内容继续加密，，，，，，加密后写入。。。。。。

加密后修改后缀名。。。。。。

天生勒索信。。。。。。

防护建议

实时修复系统及应用误差，，，，，，降低被HelloKitty勒索软件通过误差入侵的危害。。。。。。

增强会见控制，，，，，，关闭不须要的端口，，，，，，禁用不须要的毗连，，，，，，降低资产危害袒露面。。。。。。

更改系统及应用使用的默认密码，，，，，，设置高强度密码认证，，，，，，并按期更新密码，，，，，，避免弱口令攻击。。。。。。

按期举行数据备份，，，，，，并将这些备份数据生涯在离线情形或单独的网络中。。。。。。

可装置3377体育网官网入口清静产品增强防护，，，，，，3377体育网官网入口EDR系统、自顺应清静防御系统、下一代防火墙系统病毒库和僵木蠕库、病毒过滤网关、僵尸网络木马和蠕虫监测与处置惩罚系统等可有用防御该勒索病毒。。。。。。

3377体育网官网入口产品防御设置

● 3377体育网官网入口EDR系统防御设置

1. 通过微隔离战略增强会见控制，，，，，，降低横向熏染危害；；；；；；；

2. 开启文件实时监控功效，，，，，，可有用预防和查杀该勒索病毒;

3. 开启系统加固功效，，，，，，可有用阻挡该勒索病毒对系统要害位置举行破损和改动。。。。。。

● 3377体育网官网入口自顺应清静防御系统防御设置

1. 通过微隔离战略增强会见控制，，，，，，降低横向熏染危害；；；；；；；

2. 通过危害发明功效扫描系统是否保存相关误差和弱口令，，，，，，降低危害、镌汰资产袒露；；；；；；；

3. 开启病毒实时监测功效，，，，，，可有用预防和查杀该勒索病毒。。。。。。

● 3377体育网官网入口下一代防火墙系统防御设置

1. 升级到最新病毒特征库，，，，，，设置病毒防护战略，，，，，，开启日志纪录和报警功效；；；；；；；

2. 开启僵木蠕？？？？？，，，，，，封闭勒索软件的C&C服务器域名，，，，，，阻止勒索软件与其通讯；；；；；；；

3. 通过会见控制战略禁用不须要的端口、服务，，，，，，缩小资产袒露面，，，，，，降低熏染危害；；；；；；；

4. 开启弱口令防护、暴力破解防护功效，，，，，，可有用降低口令破解危害;

5. 开启联动功效，，，，，，获取3377体育网官网入口EDR系统、防病毒网关、僵尸网络木马和蠕虫监测与处置惩罚系统等产品检测效果，，，，，，实时阻挡撒播/熏染源，，，，，，控制网络撒播规模。。。。。。

● 3377体育网官网入口病毒过滤网关防御设置

1. 升级到最新病毒特征库；；；；；；；

2. 开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测；；；；；；；

3. 设置病毒检测处置惩罚战略;

4. 开启日志纪录和报警功效。。。。。。

● 3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统设置

1. 升级最新威胁情报库，，，，，，开启威胁情报恶意文件检测和捕获功效，，，，，，实时检测和捕获网络中的勒索病毒；；；；；；；

2. 开启威胁情报日志纪录和报警功效；；；；；；；

3. 可设置旁路阻断或者与3377体育网官网入口下一代防火墙联动，，，，，，阻挡勒索病毒网络撒播。。。。。。

3377体育网官网入口产品获取方法

3377体育网官网入口EDR单机版下载地点：

http://edr.topsec.com.cn

3377体育网官网入口自顺应清静防御系统、3377体育网官网入口EDR企业版试用：

可通过3377体育网官网入口各地分公司获取盘问网址：http://www.topsec.com.cn/contact/

3377体育网官网入口下一代防火墙系统病毒库、僵木蠕库下载地点：

ftp://ftp.topsec.com.cn/

3377体育网官网入口病毒过滤网关系统病毒库下载地点：

ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/

3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统威胁情报库下载地点:

ftp://ftp.topsec.com.cn