原標(biāo)題為《勒索病毒攻擊部分政府部門(mén)和醫(yī)院:偽裝成郵件對(duì)主機(jī)硬盤(pán)加密》

  澎湃新聞?dòng)浾?楊鑫倢

 

  兩款勒索病毒近日攻擊我國(guó)部分政府部門(mén)和醫(yī)院等公立機(jī)構(gòu)。

  據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),2019年3月11日起,境外某黑客組織對(duì)我國(guó)有關(guān)政府部門(mén)開(kāi)展勒索病毒郵件攻擊。郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,發(fā)件人名為“Min,GapRyong”(有報(bào)告稱還有其他假冒發(fā)件人約70余個(gè)),郵件附件名為“03-11-19.rar”。

  3月13日,據(jù)澎湃新聞?dòng)浾吡私猓鄠€(gè)政府單位和企業(yè)收到了上述緊急通知,湖北省宜昌市夷陵區(qū)政府、中國(guó)煙草旗下福建武夷煙葉有限公司、中國(guó)科學(xué)院金屬研究所等在其官網(wǎng)發(fā)布了上述消息。騰訊、360等互聯(lián)網(wǎng)安全公司發(fā)布了預(yù)警信息。

  據(jù)360安全大腦的通報(bào),目前已經(jīng)收到多起國(guó)內(nèi)用戶感染GandCrab5.2版勒索病毒反饋。福建武夷煙葉有限公司的通知顯示,目前,我國(guó)部分政府部門(mén)郵箱已遭到攻擊。

攻擊郵件內(nèi)容。來(lái)源:騰訊安全攻擊郵件內(nèi)容。來(lái)源:騰訊安全

  經(jīng)分析研判,該勒索病毒版本號(hào)為GANDCRAB V5.2,是2019年2月最新升級(jí)的勒索病毒版本,運(yùn)行后將對(duì)用戶主機(jī)硬盤(pán)數(shù)據(jù)全盤(pán)加密,并讓受害用戶訪問(wèn)網(wǎng)址下載Tor瀏覽器,隨后通過(guò)Tor瀏覽器登錄攻擊者的數(shù)字貨幣支付窗口,要求受害用戶繳納贖金。

  騰訊御見(jiàn)威脅情報(bào)中心安全專家告訴澎湃新聞?dòng)浾撸摬《驹趪?guó)內(nèi)擅長(zhǎng)使用弱口令爆破、掛馬、垃圾郵件傳播,由于使用了RSA+Salsa20的加密方式,受害用戶在無(wú)法拿到病毒作者手中私鑰常規(guī)情況下,無(wú)法解密。

  據(jù)悉,GandCrab勒索病毒是國(guó)內(nèi)目前最活躍的勒索病毒之一,在過(guò)去一年時(shí)間經(jīng)過(guò)5次大版本更新,一直和安全廠商、執(zhí)法部門(mén)斗智斗勇。

  360安全大腦專家人員表示,病毒郵件還會(huì)偽裝成韓國(guó)江東警方,聲稱用戶在網(wǎng)絡(luò)上有違法行為,將起訴其侵犯他人名譽(yù),要求用戶下載附件中的“文檔”并填寫(xiě)相關(guān)信息,用于調(diào)查,而所謂的調(diào)查文檔正是偽裝成文檔的GandCrab5.2勒索病毒。

  對(duì)于GandCrab勒索病毒,安全專家建議,不要打開(kāi)來(lái)歷不明的郵件附件;及時(shí)安裝主流殺毒軟件,升級(jí)病毒庫(kù);在Windows中禁用U盤(pán)的自動(dòng)運(yùn)行功能及時(shí)升級(jí)操作系統(tǒng)安全補(bǔ)丁,升級(jí)Web、數(shù)據(jù)庫(kù)等服務(wù)程序,防止病毒利用漏洞傳播;對(duì)已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施,防止病毒擴(kuò)散蔓延。

  另?yè)?jù)北京市公安局網(wǎng)警巡查執(zhí)法賬號(hào)“首都網(wǎng)警”3月11日消息,北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào),近日,一種勒索病毒GlobeImposter再次變種后在網(wǎng)上傳播,目前該病毒已在多個(gè)省份出現(xiàn)感染情況。一旦感染該勒索病毒,網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫(kù)文件將被病毒加密,并須支付勒索資金才能恢復(fù)文件。

  寧夏網(wǎng)絡(luò)安全信息通報(bào)中心技術(shù)支撐單位深信服安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn),該勒索病毒已席卷全國(guó)各地醫(yī)院,已在多個(gè)省份形成規(guī)模爆發(fā)趨勢(shì)。此次事件安全風(fēng)險(xiǎn)級(jí)別為“高?!?。

  360安全專家表示,GlobeImposter主要通過(guò)RDP弱口令爆破入侵服務(wù)器。成功入侵一臺(tái)設(shè)備之后,黑客通常會(huì)通過(guò)這臺(tái)設(shè)備做跳板,再次攻擊內(nèi)網(wǎng)其他設(shè)備。當(dāng)拿下一定規(guī)模的設(shè)備后,黑客便會(huì)通過(guò)一些腳本和工具半自動(dòng)的將勒索病毒投放到被拿下的機(jī)器中,因此GlobeImposter經(jīng)常會(huì)出現(xiàn)成規(guī)模的集中爆發(fā)情況。

  北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心建議,及時(shí)開(kāi)展自查驗(yàn)證;所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時(shí)更新病毒庫(kù);及時(shí)安裝漏洞補(bǔ)??;服務(wù)器開(kāi)啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ);盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口;建議關(guān)閉遠(yuǎn)程桌面協(xié)議;合理劃分內(nèi)網(wǎng)安全域;強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份;加強(qiáng)應(yīng)急處置,加強(qiáng)監(jiān)測(cè)。

 

責(zé)任編輯:丁勇

广告

讲述你身边的故事!欢迎扫描下方二维码关注 人在武汉 官方微信(v5daren)