抢夺勒索使用安全模式漏洞打击Windows防御系统

 抢夺勒索使用安全模式漏洞打击Windows防御系统
ophos的研究小组在野外发现了一个新的漏洞，它使用Windows功能绕过PC上安装的安全软件。
抢夺勒索破坏你的电脑，并迫使它重新启动到安全模式。在安全模式中，防病毒软件和其他安全软件通常被禁用，允许软件作为服务自动启动，加密您的PC，然后要求比特币中的赎金。
索福斯在过去的3个月中终于看到了12次开发，要求比特币赎金价值在2900到51000美元之间。
“抓取可以运行在Windows的大多数常见版本，从7到10，在32和64位版本，”新闻报道说。“我们观察到的恶意软件不能在Windows以外的平台上运行。抓取可以运行在大多数常见版本的Windows，从7到10，在32和64位版本。
这个兰索姆瓦尔不使用任何特定的漏洞，而是一个漏洞的工具来感染PC。Sophos建议采取以下措施来预防和检测感染：
预防
 正如我们已经敦促组织做了一段时间，Sophos建议任何大小的组织都避免将远程桌面接口暴露在未受保护的Internet上。希望远程访问机器的组织应该把它们放在网络上的VPN后面，因此，任何没有VPN证书的人都无法到达。
 抢夺攻击者还表示有兴趣与使用或雇佣使用其他类型的远程访问工具（例如VNC和TeaVIEWER）的网络进行攻击，或者使用网络外壳的经验或使用SQL注入技术侵入SQL服务器的罪犯。这是合理的，这些类型的互联网面临的服务也造成重大风险，如果无人看管。
 同样，组织应该立即为具有管理权限的用户实施多因素认证，使攻击者更难以强制使用这些帐户凭据。
 对于Sophos客户来说，所有用户都必须运行最新的端点保护，并启用拦截X中的加密功能。
检测
 我们观察到的大多数初始接入和立足点都是在未受保护和未受监控的设备上。对于几乎任何规模的组织来说，执行定期和彻底的设备清单是非常重要的，以确保网络上没有间隙或“黑暗角落”。
 抢夺勒索的执行发生后，威胁演员有好几天的未发现和不受限制的访问网络。在执行RAMSOWS可执行文件之前，严格且成熟的威胁查寻程序将有更大的潜力来识别威胁行动者。