返回目录:office365
勒索病毒,一波未平一波又起
近日,国内某网络安全团队又接到
包括金融行业在内的多家企业反馈
其内部员工收到可疑邮件
邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为lijinho@cgov.us,意图伪装成美国政府专用的邮箱地址gov.us。
邮件内容是传讯收件人作为被告审讯,详细内容在附件文档中:
(点击查看大图)
附件压缩包中包含两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档,想必此时“深陷官司”的收件人一定想点开来一看究竟,却不知这样正好落入不法分子的圈套:
(点击查看大图)
当设置取消“隐藏已知文件类型的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们其实是两个exe文件。
(点击查看大图)
这两个文件的真实身份其实是
GandCrab5.2勒索病毒
GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染多式多种多样,使用的技术也不断升级,勒索病毒主要使用RSA密钥加密算法,导致加密后的文件,无法被解密。
GandCrab5.2为GandCrab家族最新变种,近期在国内较多的以投递恶意邮件的方式进行攻击,邮件内容通常带有恐吓性质。
如果收件人不慎点开邮件附件
将会遭到勒索攻击
这已经不是GandCrab5.2第一次面向我国作祟
国家网络与信息安全信息通报中心监测发现,从2019年3月11日起,境外黑客组织大肆使用GandCrab5.2勒索病毒对我国政府及企业的工作人员发动钓鱼邮件攻击。
比如:冒充公安机关发送钓鱼邮件“你必须在3月11日下午3点向警察局报到!”
(点击查看大图)
除了伪装成docx后缀名,钓鱼邮件内的附件病毒exe还会进行各种伪装:
1、使用空格形成超长文件名“隐藏”exe后缀名
(点击查看大图)
2、使用图标伪装成pdf文件
(点击查看大图)
安全提醒
梅州网警
近期勒索病毒攻击频繁,梅州网警提醒广大用户,谨慎打开来历不明的邮件。此外,以下这些安全防护建议也请一并查收。
企业用户
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在具备专业安全防护能力的云服务。
个人用户
1、不要打开来历不明的邮件附件;
2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;
3、在Windows中禁用U盘的自动运行功能;
4、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。
综合:综合整理