最新病毒庫日期:
  • 警惕!釣魚勒索再現,瞄準中國中大型企業發起攻擊!
2019-08-19 15:15 來源:未知
【文章摘要】近日,江民赤豹安全實驗室追蹤到,前段時間造成巨大影響的“Sodinokibi”勒索病毒出現了新的變種,專門針對中國企業用戶進行持續釣魚攻擊。

近日,江民赤豹安全實驗室追蹤到,前段時間造成巨大影響的“Sodinokibi”勒索病毒出現了新的變種,專門針對中國企業用戶進行持續釣魚攻擊。相比之前,本輪攻擊更有針對性和目的性,特意瞄準了具有支付能力的國內中大型企業。從江民反病毒監測中心數據顯示,國內以星*灣地產集團、上海科*諾股份等公司為代表的一批中大型集團、上市企業赫然出現在攻擊者的目錄中,此類具有較大影響力和支付能力的企業成為了攻擊者首選目標。

赤豹安全實驗室研究發現,“Sodinokibi”變種勒索病毒會偽裝成DHL國際快運公司此類的第三方服務機構的郵箱域名,大規模推送隱藏了勒索病毒附件的釣魚郵件,用戶一旦點擊附件,就有可能感染勒索病毒,并新增了共享文件感染的功能,感染后使用RSA+salsa20算法加密電腦上的重要文件,影響用戶關鍵業務運行,以此勒索巨額贖金(超過3萬美金的比特幣)。

警惕!黑客組織已瞄準中國中大型企業,發起大規模釣魚勒索

 

此外,“Sodinokibi”勒索病毒在執行加密時,會加載一個白名單,對其中指定的某些文件夾和文件類型不加密,還排除了幾個俄語系國家及東歐國家不進行加密破壞行動,這充分表明了這是一次有預謀的具有地域針對性的黑客攻擊。

警惕!黑客組織已瞄準中國中大型企業,發起大規模釣魚勒索

 

新的“Sodinokibi”變種病毒,黑客組織研究了國內主流殺軟防御機制,特意進行了免殺處理,會繞開殺毒軟件的防御,導致了一些殺軟無法查殺,目前國內江民殺毒軟件可以及時攔截查殺。

警惕!黑客組織已瞄準中國中大型企業,發起大規模釣魚勒索

圖為免殺的部分代碼

早于今年4月,江民赤豹安全實驗室就發現了“Sodinokibi”勒索病毒,其代碼中多項特征與GandCrab類似,被認為是GandCrab勒索軟件的“繼承者”。“Sodinokibi”勒索病毒會偽裝成稅務單位、司法機構、快遞公司,大規模推送釣魚欺詐郵件來傳播,感染后使用RSA+salsa20算法加密電腦上的重要文件,影響用戶關鍵業務運行。此次“Sodinokibi”新變種病毒會對使用到的大量字串進一步使用RC4算法進行加密,最終使用RSA+salsa20的方式配合IOCP完成端口模型進行文件的加密流程,被該病毒加密破壞的文件暫時無法解密,請廣大用戶提高警惕,做好事前防御工作。

快速辨別釣魚郵件

釣魚郵件的主要特點。釣魚郵件通常會偽裝成企業、機構、政府的身份或虛構人員,或使用偽造郵件地址,模仿正式通知的語氣,引導用戶去點擊郵件中的不明鏈接、下載郵件的附件。但這些不明鏈接、附件,一旦點擊就會自動下載木馬病毒,用戶電腦面臨賬號、數據被竊取,感染病毒的風險。

辨別釣魚郵件,首先關注來郵的地址信息。電子郵件與常規郵件類似,其發信人地址可以分為信封地址和信息地址,信封地址是發件人聲稱的地址,由發件人自己填寫;而信息地址為郵件服務器記錄的實際地址。從而可見,信封地址是可以偽造的,而用戶往往看到的就是發件人的信封地址(可以將光標移至發件人或信封地址后面查看是否有地址不一致的提示)。一般來說一封正常的電子郵件應該是信息地址和信封地址是相同的,如果不同,或標記“代發”的,就要特別小心,可以初步判斷可能是一封偽造郵件,也就是可能是釣魚郵件。

如何預防勒索病毒

江民赤豹安全實驗室專家表示,防范勒索病毒最重要的是做好事前防御工作,用戶切勿抱有僥幸心理,中了勒索病毒再四處尋求解密途徑為時已晚,并且有很大風險。第一,中了勒索病毒加密系統文件,可能影響重要業務系統運行,造成巨大損失;第二,真實事例表明,即使向攻擊者支付了贖金也不一定能解密成功,一些攻擊者只是從暗網買到勒索病毒程序以此牟取贖金,并沒有解密的秘鑰。與其寄希望于黑客的操守,不如事前做好防范措施。

江民安全專家提供用戶做好以下防范措施:

1). 對重要的數據文件定期進行非本地備份,安裝江民殺毒軟件并及時更新病毒庫;

2). 不要點擊來源不明的郵件以及附件;

3). 重命名vssadmin.exe進程,防止勒索病毒利用它一次性清除文件的卷影副本;

4). Weblogic、Apache Struts2等服務器組件及時安裝安全補丁,更新到最新版本;

5). 使用長度大于10位的復雜密碼,禁用GUEST來賓帳戶;

6). 盡量不要使用局域網共享,或把共享磁盤設置為只讀屬性,不允許局域網用戶改寫文件;

7). 關閉不必要的端口,如:445、135、139、3389等;

8). 安裝江民赤豹端點全息系統,全面防御勒索病毒,保護重要數據。

st股票涨跌限制