瑞星預警:黑客冒充政府機關發送釣魚郵件傳播GandCrab5.2勒索病毒
近日,瑞星安全專家發現國內有大量企業、機構被GandCrab 5.2勒索病毒攻擊,黑客肆無忌憚的冒充政府機關發送恐嚇郵件給受害者,誘使用戶下載附件而導致重要文件被加密且無法解密。在此,瑞星公司提醒廣大用戶切勿點擊陌生郵件,安裝有效殺毒軟體,以防被勒索病毒攻擊。目前,瑞星所有個人及企業級產品均可對GandCrab 5.2勒索病毒進行查殺,瑞星之劍(下載地址:http://www.rising.com.cn/j/)可以有效攔截該勒索病毒。
圖:瑞星ESM與瑞星之劍攔截查殺截圖
此前,GandCrab 5.1及之前的版本被解密後,GandCrab勒索病毒作者迅速更新了GandCrab 5.2版本,瑞星也在第一時間預警並分析了該病毒。而此次爆發的GandCrab 5.2勒索病毒與之前的版本相比,病毒整體執行的功能並沒有太大變化。GandCrab 5.1及之前的版本之所以可以被解密,是由於病毒位於暗網的控制伺服器被國外執法機構查獲,所以可以獲取到病毒作者私鑰,也就是解密秘鑰。但是最新的GandCrab 5.2無法獲取其控制伺服器,所以在沒有病毒作者私鑰的情況下,是無法解密被加密文件的。
瑞星安全專家對相關攻擊案例進行了分析:
一種情況是,攻擊者發送釣魚郵件到受害者郵箱中,並恐嚇受害者「必須在3月11日下午3點到警察局報到」,而誘導受害者點擊郵件。
圖:釣魚郵件
郵件附件是一個rar格式的壓縮包。
圖:壓縮包中的文件夾
解壓後會出現一個exe程序,但該exe程序偽裝成Office Word文檔圖標。
圖:偽裝成word文檔的exe程序
一旦用戶點擊這個exe,病毒便開始運行,加密受害者文件。
另外,GandCrab 5.2勒索病毒還會偽裝成JPG圖片,其實這是一個JS腳本,在沒有顯示後綴名的計算機中,非常具有迷惑性。
圖:偽裝成圖片的JS腳本
一旦用戶點擊並運行了該腳本,就會調用Powershell下載GandCrab 5.2勒索病毒,病毒運行後就會加密受害者文件。
圖:調用Powershell下載病毒
防範措施
1、不打開陌生或可疑郵件,不下載郵件附件。
2、不使用弱口令密碼。
3、多台機器不使用相同密碼。
4、及時更新漏洞補丁。
5、安裝殺毒軟體及時更新病毒庫。
6、安裝防勒索軟體,防止未知病毒變種加密文件。
緊急處理:
TAG:威客安全 |