兩款勒索病毒近日攻擊我國部分政府部門和醫院等公立機構���。
據國家網絡與信息安全信息通報中心監測發現����,2019年3月11日起��,境外某黑客組織對我國有關政府部門開展勒索病毒郵件攻擊����。郵件主題為“你必須在3月11日下午3點向警察局報到�!”���,發件人名為“Min��,GapRyong”(有報告稱還有其他假冒發件人約70余個)�,郵件附件名為“03-11-19.rar”�����。
3月13日����,據澎湃新聞記者了解�����,多個政府單位和企業收到了上述緊急通知�����,湖北省宜昌市夷陵區政府��、中國煙草旗下福建武夷煙葉有限公司�����、中國科學院金屬研究所等在其官網發布了上述消息�����。騰訊����、360等互聯網安全公司發布了預警信息���。
據360安全大腦的通報�����,目前已經收到多起國內用戶感染GandCrab5.2版勒索病毒反饋���。福建武夷煙葉有限公司的通知顯示��,目前��,我國部分政府部門郵箱已遭到攻擊���。
攻擊郵件內容�。來源:騰訊安全
經分析研判�,該勒索病毒版本號為GANDCRAB V5.2�����,是2019年2月最新升級的勒索病毒版本����,運行后將對用戶主機硬盤數據全盤加密��,并讓受害用戶訪問網址下載Tor瀏覽器���,隨后通過Tor瀏覽器登錄攻擊者的數字貨幣支付窗口�����,要求受害用戶繳納贖金���。
騰訊御見威脅情報中心安全專家告訴澎湃新聞記者�����,該病毒在國內擅長使用弱口令爆破���、掛馬���、垃圾郵件傳播�,由于使用了RSA+Salsa20的加密方式��,受害用戶在無法拿到病毒作者手中私鑰常規情況下���,無法解密�����。
據悉�����,GandCrab勒索病毒是國內目前最活躍的勒索病毒之一����,在過去一年時間經過5次大版本更新�,一直和安全廠商��、執法部門斗智斗勇�����。
360安全大腦專家人員表示����,病毒郵件還會偽裝成韓國江東警方�����,聲稱用戶在網絡上有違法行為�����,將起訴其侵犯他人名譽����,要求用戶下載附件中的“文檔”并填寫相關信息�,用于調查�����,而所謂的調查文檔正是偽裝成文檔的GandCrab5.2勒索病毒�。
對于GandCrab勒索病毒���,安全專家建議���,不要打開來歷不明的郵件附件���;及時安裝主流殺毒軟件�,升級病毒庫�;在Windows中禁用U盤的自動運行功能及時升級操作系統安全補丁�,升級Web���、數據庫等服務程序�����,防止病毒利用漏洞傳播�����;對已感染主機或服務器采取斷網措施���,防止病毒擴散蔓延�����。
另據北京市公安局網警巡查執法賬號“首都網警”3月11日消息����,北京網絡與信息安全信息通報中心通報�,近日�,一種勒索病毒GlobeImposter再次變種后在網上傳播����,目前該病毒已在多個省份出現感染情況��。一旦感染該勒索病毒�����,網絡系統的數據庫文件將被病毒加密�����,并須支付勒索資金才能恢復文件����。
寧夏網絡安全信息通報中心技術支撐單位深信服安全團隊監測發現���,該勒索病毒已席卷全國各地醫院�����,已在多個省份形成規模爆發趨勢����。此次事件安全風險級別為“高�!��。
360安全專家表示���,GlobeImposter主要通過RDP弱口令爆破入侵服務器�。成功入侵一臺設備之后��,黑客通常會通過這臺設備做跳板����,再次攻擊內網其他設備�����。當拿下一定規模的設備后���,黑客便會通過一些腳本和工具半自動的將勒索病毒投放到被拿下的機器中�����,因此GlobeImposter經常會出現成規模的集中爆發情況����。
北京網絡與信息安全信息通報中心建議����,及時開展自查驗證�����;所有服務器�����、終端應強行實施復雜密碼策略�,杜絕弱口令���;安裝殺毒軟件�����、終端安全管理軟件并及時更新病毒庫�;及時安裝漏洞補�������;服務器開啟關鍵日志收集功能����,為安全事件的追溯提供基礎��;盡量關閉不必要的文件共享權限以及關閉不必要的端口���;建議關閉遠程桌面協議��;合理劃分內網安全域��;強化業務數據備份���;加強應急處置�����,加強監測�。
