網站首頁 > 熱門病毒專題 > 警惕!釣魚勒索再現!
 
標題:警惕!釣魚勒索再現!
分類:熱門病毒專題 日期:2019/8/21 下午 01:21:46

警惕!釣魚勒索再現!

2019-08-19

 

近日,江民赤豹安全實驗室追蹤到,前段時間造成巨大影響的“Sodinokibi”勒索病毒出現了新的變種,“Sodinokibi”變種勒索病毒會偽裝成DHL國際快運公司此類的協力廠商服務機構的郵箱功能變數名稱,大規模推送隱藏了勒索病毒附件的釣魚郵件,使用者一旦點擊附件,就有可能感染勒索病毒,並新增了共用檔案感染的功能,感染後使用RSA+salsa20演算法加密電腦上的重要檔案,影響用戶關鍵業務運行,以此勒索巨額贖金(超過3萬美金的比特幣)。

 

 

此外,“Sodinokibi”勒索病毒在執行加密時,會載入一個白名單,對其中指定的某些資料夾和檔案案類型不加密,還排除了幾個俄語系國家及東歐國家不進行加密破壞行動,這充分表明了這是一次有預謀的駭客攻擊。

 

 

新的“Sodinokibi”變種病毒,駭客組織研究了主流防毒軟體防禦機制,特意進行了免殺處理,會繞開防毒軟體的防禦,導致了一些防毒軟體無法查殺,目前國內江民防毒軟體可以及時攔截查殺。

 

圖為免殺的部分代碼

 

早於今年4月,江民赤豹安全實驗室就發現了“Sodinokibi”勒索病毒,其代碼中多項特徵與GandCrab類似,被認為是GandCrab勒索軟體的“繼承者”。“Sodinokibi”勒索病毒會偽裝成稅務單位、司法機構、快遞公司,大規模推送釣魚欺詐郵件來傳播,感染後使用RSA+salsa20演算法加密電腦上的重要檔案,影響用戶關鍵業務運行。此次“Sodinokibi”新變種病毒會對使用到的大量字串進一步使用RC4演算法進行加密,最終使用RSA+salsa20的方式配合IOCP完成通訊埠模型進行檔案的加密流程,被該病毒加密破壞的檔案暫時無法解密,請廣大用戶提高警惕,做好事前防禦工作。

 

快速辨別釣魚郵件

 

釣魚郵件的主要特點。釣魚郵件通常會偽裝成企業、機構、政府的身份或虛構人員,或使用偽造郵寄地址,模仿正式通知的語氣,引導用戶去點擊郵件中的不明連結、下載郵件的附件。但這些不明連結、附件,一旦點擊就會自動下載木馬病毒,使用者電腦面臨帳號、資料被竊取,感染病毒的風險。

 

辨別釣魚郵件,首先關注來郵的位址資訊。電子郵件與常規郵件類似,其發信人位址可以分為信封位址和資訊位址,信封位址是寄件者聲稱的地址,由寄件者自己填寫;而資訊位址為郵件伺服器記錄的實際位址。從而可見,信封位址是可以偽造的,而用戶往往看到的就是寄件者的信封位址(可以將游標移至寄件者或信封位址後面查看是否有地址不一致的提示)。一般來說一封正常的電子郵件應該是資訊位址和信封位址是相同的,如果不同,或標記“代發”的,就要特別小心,可以初步判斷可能是一封偽造郵件,也就是可能是釣魚郵件。

 

如何預防勒索病毒

 

江民赤豹安全實驗室專家表示,防範勒索病毒最重要的是做好事前防禦工作,用戶切勿抱有僥倖心理,中了勒索病毒再四處尋求解密途徑為時已晚,並且有很大風險。第一,中了勒索病毒加密系統檔案,可能影響重要業務系統運行,造成巨大損失;第二,真實事例表明,即使向攻擊者支付了贖金也不一定能解密成功,一些攻擊者只是從暗網買到勒索病毒程式以此牟取贖金,並沒有解密的秘鑰。與其寄希望於駭客的操守,不如事前做好防範措施。

 

江民安全專家提供用戶做好以下防範措施:

 

1). 對重要的資料檔案案定期進行非本地備份,安裝江民殺毒軟體並及時更新病毒庫;

 

2). 不要點擊來源不明的郵件以及附件;

 

3). 重命名vssadmin.exe進程,防止勒索病毒利用它一次性清除檔案的卷影副本;

 

4). WeblogicApache Struts2等伺服器元件及時安裝安全補丁,更新到最新版本;

 

5). 使用長度大於10位元的複雜密碼,禁用GUEST來賓帳戶;

 

6). 儘量不要使用區域網路共用,或把共用磁碟設置為唯讀屬性,不允許區域網路使用者改寫檔案;

 

7). 關閉不必要的通訊埠,如:4451351393389等;

 

 

 
 
 
CopyRight  © 江民科技 1996 - 2017 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw