勒索病毒肆虐!如何应对新型的敲诈行为
近日,Locky勒索病毒愈演愈烈,国内相继有很多家大中型企业、政府单位内部员工或高层领导的电脑、手机感染了该病毒,导致重要文件被加密,需要缴纳赎金才能恢复正常。
这类病毒一般是通过邮件方式进行传播,黑客对目标对象发送带有附件的恶意邮件,员工或者领导一旦打开附件后,电脑、手机上的各种重要文件,包括软件源代码、Word、PPT、PDF、图片等都会被加密,无法正常使用。
收到主题为Payment开头(例如:Payment ACCEPTEDM-344800)的电子邮件,该邮件会夹带一个含有恶意程序指令的压缩文档,若不慎执行该附件后,恶意程序会自动下载并植入勒索软件,系统中所有文档将被更改为.locky,请各位提高警觉,并提醒企业内的个人用户切勿开启主题为Payment 开头类型的电子邮件及其附件!!!
P.s. 近日主题变异反馈:
-
Order F-XXXXX”附件 “invoice_detailsXXXX”都是勒索病毒
-
refund RF-XXXXXX 附件 “invoice_detailsXXXX”都是勒索病毒
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。其主要通过电子邮件和非法网站传播,当用户点击恶意链接或者打开附件时,将下载执行加密程序对数据进行加密,需按照要求支付一定数目的“赎金”才能恢复数据。
从 2015 年开始,勒索软件在全球疯狂传播,各种种类的勒索软件及变种层出不穷。比较典型的勒索软件有,利用 Flash player 漏洞针对游戏平台玩家的 TeslaCrypt 勒索软件(本文将重点分析该软件),善于伪装成 PDF 文件的 CryptoWall 勒索软件,不交赎金就公布个人信息的 Chimera 勒索软件,托管收取费用的 TOX 勒索软件,攻击移动平台的 Android.Trojan.Koler 勒索软件,今年2月最新出现的可伪装成 word 文档的新型勒索软件,3月份首款针对苹果 MAC 系统的勒索软件 KeRanger 诞生。
如果受害者不支付赎金,勒索软件不仅会将受害者手机锁屏以阻止他们进一步操作,还威胁受害者要将他们浏览成人网站的消息通知给手机中的所有联系人。
这种勒索手段不仅仅是体现在安全方面,同时还抓住了受害者的羞耻心理。但受害者碰到这种事情时会感到很尴尬,因为他们访问的是一个色情网站,所以不想告诉任何人。有一些特定类别的用户更容易受到这些网络罪犯的勒索,例如企业高管,他们担心上黄网被他人知晓会影响个人形象,所以最后都会决定支付赎金。
目前,针对 PC 端的勒索软件, AES 对称加密方法已经可以进行破解并恢复系统数据,而非对称的 RSA-2048 加密方法还没有成熟的解决方案。针对移动端的勒索软件,大部分软件不会真的发送隐私信息给所有联系人,如果手机中没有重要资料可进行刷机处理。
目前,要想解密被较为高级的勒索病毒加密后的文件,除了交比特币外,基本别无他法。例如这次的locky,目前业界还没有解密办法,所以只能尽量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、在企业电子邮件安全网关设备中,将此类攻击电子邮件的主题(Payment 开头关键字),及发件人加入网关防护产品拦截名单中进行拦截,或设置相关拦截规则;
3、尽量不要点击office宏运行提示,避免来自office组件病毒感染;
4、从正规(官网)途径下载需要的软件,不要双击打开.js、.vbs等后缀名文件;
5、升级深信服NGAF设备最新的防病毒等安全特征库;
6、升级企业防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
7、定期异地备份计算机中重要的数据和文件,以便中病毒后可以进行恢复。
若企业中有发现疑似威胁感染、病毒定义文件无法正常更新,或您需要更专业的安全应急指导和防护手段,请及时与众志天成客服人员(400-0636-880)联系。如有需要,我司还将免费提供测试设备为用户进行紧急应对。