2019年5月15日，微软官方发布5月安全补丁更新共修复了82个漏洞，其中包含一个针对远程桌面服务（RDP）的远程代码执行漏洞（编号为CVE-2019-0708 ），攻击者可以利用此漏洞远程发送构造特殊的恶意数据在目标系统上执行恶意代码，无需用户验证即可以实现目标机器的完全控制权。 此漏洞影响Windows XP、Window 2003、Windows 7、Window Server 2008系列操作系统。由于该漏洞影响及危害巨大，根据微软安全响应中心（ MSRC ）发布的博客文章提醒该漏洞有被蠕虫病毒利用再次导致WannaCry类似全球事件可能。 随后知道创宇404实验室及产品相关团队第一时间发布了漏洞预警及解决方案并密切关注该漏洞利用演变及进展，目前可确定部分安全研究机构及个人宣称已经复现并实现了远程真实利用程序。在此，我们再次预警提醒广大用户注意防御，及时更新修复该漏洞规避安全风险。 漏洞影响： 受影响系统及版本 ● Windows  7 for 32-bit Systems Service Pack 1 ● Windows  7 for x64-based Systems Service Pack 1 ● Windows  Server 2008 for 32-bit Systems Service Pack 2 ● Windows  Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) ● Windows  Server 2008 for Itanium-Based Systems Service Pack 2 ● Windows  Server 2008 for x64-based Systems Service Pack 2 ● Windows  Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) ● Windows  Server 2008 R2 for Itanium-Based Systems Service Pack 1 ● Windows  Server 2008 R2 for x64-based Systems Service Pack 1 ● Windows  Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core  installation) 需要注意的是： Windows 8 和 Windows 10 及之后版本的用户不受此漏洞影响。 网络空间影响： 知道创宇旗下网络空间搜索引擎ZoomEye 通过 app:”Microsoft Terminal Service” 查询到，截至目前全球有7,824,306条微软远程桌面服务对外开放的记录，主要分布在美国（2093963）及中国（1777045）：   解决方案 漏洞检测方案： 1、目前知道创宇SeeBug漏洞平台推出了基于PocSuite框架的漏洞远程无害扫描检测程序（免费）：https://www.seebug.org/vuldb/ssvid-97954。   2、使用知道创宇网络空间安全资产管理系统ZoomEye BE 进行内部资产普查及时发现并修复漏洞。   漏洞修复及拦截方案： 1、参考微软官方安全通告下载并安装最新补丁： https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708   补丁下载链接： ● Windows 7 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu ● Windows 7 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Embedded  Standard 7 for x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Embedded  Standard 7 for x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu ● Windows Server 2008  x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu ● Windows Server 2008  Itanium http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu ● Windows Server 2008  x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu ● Windows Server 2008 R2  Itanium http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu ● Windows Server 2008 R2  x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Server 2003  x86 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe ● Windows Server 2003  x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe ● Windows XP SP3 http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe ● Windows XP SP2 for x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe ● Windows XP SP3 for XPe http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe ● WES09 and POSReady  2009 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe   2、启用知道创宇联合腾讯研发的终端安全产品：御点终端安全管理系统，提供一键修复、针对没办法打补丁重启的设备并提供无补丁漏洞防御。     如有更多疑问，可向知道创宇寻求技术支持，联系电话：400-060-9587

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体，这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密，但其中一种更加先进，可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告，该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限，他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上，加密未映射的网络共享，加密时显示状态窗口，清除卷影副本以及加密文件名。不过，这两个变体之间有一些细微差别，第二个变体（[RestorFile@tutanota.com]）稍微高级一些。这些差异如下所述。 变体 1：[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时，它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息，另一个窗口是关于网络共享扫描的信息。 当文件被加密时，它会加密文件名，然后附加[ RestorFile@tutanota.com ]扩展名。 例如， test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为！ReadMe_To_Decrypt_Files！.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io，Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是，Matrix Ransomware 的这种变体无法免费解密。 变体 2：[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似，但它有点更先进，因为它具有更好的调试消息，并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外，该变体使用不同的联系人电子邮件地址，不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时，它将利用下列窗口显示感染的状态。 请注意，与前一个版本相比，此版本中显示的日志记录更多。 当文件被加密时，它将加密文件名，然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如， test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 ＃Decrypt_Files_ReadMe＃.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com，RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后，它将执行“ cipher.exe / w：c ”命令以覆盖 C：驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是，像以前的版本一样，这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击，一定要使用良好的计算习惯和安全软件。首先，您应始终拥有可靠且经过测试的数据备份，以备在紧急情况下可以恢复，如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装，因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面，以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要，这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件，其中包含行为检测以对抗勒索软件，而不仅仅是签名检测或启发式检测。例如，Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能，可以防止许多（如果不是大多数）勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是，确保您练习以下安全习惯，在许多情况下这些习惯是所有最重要的步骤： – 备份 – 如果您不知道是谁发送的，请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件， – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好！ 另外请确保您更新所有程序，特别是 Java，Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练，但如果你愿意与它一起存货，可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源：东方安全，封面源自网络；