資安警訊: COLDLOCK勒索軟體鎖定攻擊台灣企業
建議

趨勢科技建議可採取以下防範措施 :

  • 趨勢科技產品病毒碼版本15.849.00已可偵測下列威脅,請盡速更新
Sha1Threat Name
9d6feb6e246557f57d17b8df2b6d07194ad66f66Ransom.MSIL.COLDLOCK.YPAE-A
75e49120a0238749827196cebb7559a37a2422f8Ransom.PS1.COLDLOCK.YPAE-A
9e3a1f4cdfb3aeafc66d289b02d8b0dd23328bfcRansom.Win32.COLDLOCK.YPAE-A.note
  • 若有使用微軟網域服務,請注意網域控制站(DC)是否出現異常排程、異常帳號
  • 檢查是否有異常網域群組原則(GPO)或異常檔案的建立、派送
  • 監控網域與本機管理群組使用者帳號的新增記錄
  • 檢視重要伺服器或電腦上是否出現異常的工作排程
  • 使用多因子驗證登入,降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解,而被駭客登入的風險
  • 確認所有軟體與作業系統完成安全性更新,尤其是提供對外服務之伺服器。
  • 密碼設定符合安全性要求,包含長度、複雜度等。
  • 記錄遠端桌面服務登入記錄,建議重要主機(如ERP)登入記錄應儲存至遠端日誌收集系統,以後稽核追蹤。
  • 部署多層次資安防護機制解決方案,除了端點防護解決方案以外,進階沙箱分析隔離不明檔案,應用程式控管與行為監控則可防止可疑檔案執行,並避免系統遭到未經授權的變更
  • 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動
  • 在Apex One中啟用勒索病毒防護功能,請點我連結
  • 勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點)
關鍵字
勒索軟體,COLDLOCK,機敏資料