BLOG

MY PERSONAL JOURNEY

Geerban勒索病毒十余种工具攻击企业内网腾讯安全全面防御

近期,腾讯安全威胁情报中心接到某公司网管发来的求助,称自己公司内服务器文件被全盘加密,被加密文件全部修改为.geer后缀,同时不法黑客还留下了名为READ_ME.txt的勒索信,要求用户联系指定邮箱购买解密工具,索要0.37比特币的解密赎金。

据介绍,警方以西安、西安北、安康、延安、神木等客运大站为主战场,广泛开展法制宣传,进一步加强站区巡查,加强票证人一致性查验,查堵带客进站“熟面孔”和“冒用身份证、票进站”等行为。通过公布举报电话、信箱、微信等,广泛搜集倒票线索,不断压缩倒票人员的活动空间。(完)

“从当前趋势来看,未来会有更多的非上市银行,通过发行永续债的方式,补充一级资本金,央行也极有可能通过这种方式,缓释中小银行所面临的风险。” 赵晨希称。

临近年底不少勒索病毒开始趁乱作恶,为更好地遏制新型变种Geerban勒索病毒带来的扩散态势,腾讯安全反病毒实验室负责人马劲松建议广大企业网络管理员,关闭不必要的服务器端口,使用高强度密码,防止不法黑客暴力破解;尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;对没有互联需求的服务器/工作站内部访问设置相应控制。在终端和服务器部署专业防护软件,Web服务器考虑部署在腾讯云等具备专业安全防护能力的云服务。同时,建议企业用户选择使用腾讯安全高级威胁检测系统防御病毒攻击,检测未知黑客的各种可疑攻击行为,全方位保障企业自身的网络安全。

对于普通用户来说,马劲松建议,谨慎点击来源不明的邮件附件,关闭Office的宏功能,同时保持安全软件处于开启并运行状态,及时修复系统漏洞,实时拦截病毒风险。除此之外,他建议个人用户在上网过程中,应注意养成随时备份重要文件的好习惯,推荐使用腾讯电脑管家“文档守护者”工具对重要文件和数据进行定期备份,全面保护文档安全。

值得注意的是,在中小银行二级资本债年内发行规模创出新高之际,两家城商行选择不赎回二级资本债,使得市场对中小银行二级资本债发行出现一些担忧。不过记者采访了解到,只要这类现象不大范围增加,中小银行二级资本债发行规模还将上升。此外,永续债也将成为中小银行补充资本的重要方式。

东方金诚首席宏观分析师王青称,今年来中小银行改革受到高度重视,金融委连续几次会议涉及该项议题。加大中小银行改革,在当前能够兼顾防风险与稳增长。未来在多渠道补充中小银行资本等方面,监管层或将推出更多支持性政策,金融机构内部信用分层现象也有望得到一定缓解,中小行二级资本债发行规模还将上升。

不过,在监管支持下二级资本债发行首先从规模上恢复:9月份规模回升至272亿,11月份进一步回升至301亿。

本次安全事件中针对RDP的弱口令爆破是不法分子的常用伎俩。根据腾讯安全《2019上半年勒索病毒报告》显示,弱口令爆破是目前最为流行的勒索攻击手段,占比高达34%。由于一些管理员的安全意识薄弱,设置密码简单容易猜解,不法黑客们常常会利用sa弱口令,通过密码字典进行猜解爆破登录。另外腾讯安全《2019上半年企业安全报告》也指出,RDP协议爆破是不法黑客针对外网目标爆破攻击的首选手段。

江海证券研究员赵晨希表示,中小银行、尤其是未上市银行,补充资本金的方式较少。此外互持资本债受限,在二级资本债发行上将面临需求走弱的风险。在此情况下,若有二级资本债到赎回期,中小银行极有可能选择不赎回该二级资本债。

天风证券首席固收分析师孙彬彬表示,中小银行事件之后,市场信用分化严重,二级资本债的发行也受到了显著的影响。二级资本债等资本补充工具发行仍然主要集中在大行和股份行,中小银行资本工具发行规模和数量都较事件前有所下降。

“中小银行二级资本债发行规模增加主要和监管鼓励其补充资本有关。金融委多次会议均重点提及鼓励中小银行多渠道补充资本。” 天风证券(5.490, -0.03, -0.54%)银行业首席分析师廖志明对21世纪经济报道记者表示。

廖志明还表示,如果后续不赎回现象增多,一些风险偏好较低的投资者对配置资质偏差的银行二级资本债会更审慎,资质较差的中小行二级资本债发行难度及成本将上升。如果要成功发行,可能需要提高其票面利率。

廖志明称,两家城商行不行使二级资本债赎回权对二级资本债发行影响不大。实际上,二级资本债主要是理财资金在购买,有的银行理财资金在相互配置彼此的二级资本债。

实际上,在11月初讨论相关议题后,金融委11月28日召开会议再次强调,要多渠道增强商业银行特别是中小银行资本实力。

11月初,国务院金融稳定发展委员会第九次会议提出,深化中小银行改革,完善银行补充资本的市场环境和配套政策,健全可持续的资本补充体制机制。当前要重点支持中小银行多渠道补充资本,优化资本结构,增强服务实体经济和抵御风险的能力。

商业银行资本金是指银行为了正常的经营活动和获取利润而投入的货币资金和保留在银行的利润。资本金越多,银行的安全系数越高。商业银行资本金分为核心一级资本、其他一级资本、二级资本三大类。

11月多家中小银行永续债获批发行。Wind数据显示,11月15日,台州银行发行永续债16亿,票面利率5.4%;11月28日威海市商业银行成功发行永续债30亿,票面利率5.4%;11月29日,微商银行发行永续债100亿,票面利率4.9%。

值得一提的是,腾讯安全技术专家经过深入溯源分析后,发现该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程,更像是为了此次攻击,紧急编写制作而成。同时,攻击者得手后还会将文件全盘加密,勒索不义之财。

票面利率亦受到一定影响。比如9月份,AAA级二级资本债发行价格进一步走低,9月下旬国有大行发行的5+5期限利率跌破4%,创资管新规发布以来最低的价格;而AA+价格不足4.5%,AA级价格在5.2%-5.3%之间,AA-为5.4%,A逼近6%。

21世纪经济报道记者根据Wind数据统计显示,11月中小银行(城商行、农商行)二级资本债发行规模已经达到301亿,其发行规模创出年内新高。累计来看,截至11月末中小银行二级资本债发行规模已达到1201.5亿,高出去年全年约500亿。这一趋势延续至12月:前三个工作日已有孝感农商行、龙江银行、华兴银行发行三单二级资本债,规模合计46.5亿。

回溯来看,从2014年前后银行开始发行二级资本债,其期限一般是5+5年期。换言之,这些二级资本债发行人将在今明两年面临是否赎回的选择。一般而言,二级资本债均设置赎回权,而没有回售权。即发行人有权选择赎回债券,而投资者不得提前回售债券。

刘郁认为,二级资本债不赎回比赎回容易。一方面,没有法规或条款限制发行人不行使赎回权,发行人可能为了维持资本充足率而主动不赎回。另一方面,发行人可能由于达不到行使赎回权的条件而被动不赎回,比如赎回后资本水平不满足监管要求、监管部门不批准等。

从今年的发行情况来看,截至11月末中小银行二级资本债发行规模已达到1201.5亿,相比去年全年增加484.3亿。从月度发行规模来看,1-5月发行规模呈现逐渐升高的态势,5月份达到120亿,但6月降至53亿。

“可能出于维持资本充足率的需求而主动不赎回债券,也可能赎回方案未能得到监管部门的批准。” 国盛固收首席分析师刘郁表示。

近期两家城商行不行使赎回选择权,引起了市场的关注。比如11月18日,临商银行发布公告称,不行使“14临商银行二级”赎回选择权,并于11月28日付息。

二级资本债是补充二级资本的主要工具。根据Wind数据统计,2013年以来中国商业银行已累计发行421只二级资本债,发行规模达2.1万亿元。二级资本债的发行门槛较低,其发行主体集中在农商行和城商行,是中小银行补充资本金的有效工具。

腾讯安全进而监测发现,Geerban勒索病毒在国内传播升级,该病毒主要通过RDP弱口令爆破传播入侵政企机构,加密重要数据清除系统日志,由于该病毒的加密破坏暂无法解密,被攻击后将导致相关单位遭受严重损失。目前,腾讯电脑管家、腾讯安全终端安全管理系统均可拦截并查杀该病毒,同时提醒广大企业用户年底提高警惕,强化内网安全以防中招。

与以往勒索病毒相比,此次检测发现的Geerban勒索病毒可谓十分“多变”,利用十余种攻击方式组成“广撒网”的攻击策略。攻击者在成功攻破一条服务器后并不满足于此,还会向目标电脑释放大量进程对抗工具、内网扫描工具、本地密码抓取工具等,企图攻击内网中其它机器。一旦入侵成功,即可获得对目标电脑的完全控制权,并绑架局域网内的其他中招电脑,危害极大。