首页 > IT业界 > 正文

瑞星预警:黑客冒充政府机关发送钓鱼邮件传播GandCrab5.2勒索病毒

2019-03-14 09:39:26  来源:互联网

摘要: 近日,瑞星安全专家发现国内有大量企业、
关键词: 瑞星
   近日,瑞星安全专家发现国内有大量企业、机构被GandCrab 5.2勒索病毒攻击,黑客肆无忌惮的冒充政府机关发送恐吓邮件给受害者,诱使用户下载附件而导致重要文件被加密且无法解密。在此,瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5.2勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。
 
 
图:瑞星ESM与瑞星之剑拦截查杀截图
 
      此前,GandCrab 5.1及之前的版本被解密后,GandCrab勒索病毒作者迅速更新了GandCrab 5.2版本,瑞星也在第一时间预警并分析了该病毒。而此次爆发的GandCrab 5.2勒索病毒与之前的版本相比,病毒整体执行的功能并没有太大变化。GandCrab 5.1及之前的版本之所以可以被解密,是由于病毒位于暗网的控制服务器被国外执法机构查获,所以可以获取到病毒作者私钥,也就是解密秘钥。但是最新的GandCrab 5.2无法获取其控制服务器,所以在没有病毒作者私钥的情况下,是无法解密被加密文件的。
 
      瑞星安全专家对相关攻击案例进行了分析:
 
      一种情况是,攻击者发送钓鱼邮件到受害者邮箱中,并恐吓受害者“必须在3月11日下午3点到警察局报到”,而诱导受害者点击邮件。
 
 
图:钓鱼邮件
 
      邮件附件是一个rar格式的压缩包。
 
 
图:压缩包中的文件夹
 
      解压后会出现一个exe程序,但该exe程序伪装成Office Word文档图标。
 
 
图:伪装成word文档的exe程序
 
      一旦用户点击这个exe,病毒便开始运行,加密受害者文件。
 
      另外,GandCrab 5.2勒索病毒还会伪装成JPG图片,其实这是一个JS脚本,在没有显示后缀名的计算机中,非常具有迷惑性。
 
 
图:伪装成图片的JS脚本
 
      一旦用户点击并运行了该脚本,就会调用Powershell下载GandCrab 5.2勒索病毒,病毒运行后就会加密受害者文件。
 
 
图:调用Powershell下载病毒
 
 
      防范措施
 
      1、不打开陌生或可疑邮件,不下载邮件附件。
      2、不使用弱口令密码。
      3、多台机器不使用相同密码。
      4、及时更新漏洞补丁。
      5、安装杀毒软件及时更新病毒库。
      6、安装防勒索软件,防止未知病毒变种加密文件。
 
      紧急处理:
 
      广大用户可拨打瑞星客服热线:4006608866 或联系官方微信号:Weixin-Rising紧急处理勒索病毒威胁。
 
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanglinying

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。