兩款勒索病毒近日攻擊我國部分政府部門和醫(yī)院等公立機構(gòu)。

據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)，2019年3月11日起，境外某黑客組織對我國有關(guān)政府部門開展勒索病毒郵件攻擊。郵件主題為“你必須在3月11日下午3點向警察局報到！”，發(fā)件人名為“Min，GapRyong”（有報告稱還有其他假冒發(fā)件人約70余個），郵件附件名為“03-11-19.rar”。

3月13日，據(jù)澎湃新聞記者了解，多個政府單位和企業(yè)收到了上述緊急通知，湖北省宜昌市夷陵區(qū)政府、中國煙草旗下福建武夷煙葉有限公司、中國科學(xué)院金屬研究所等在其官網(wǎng)發(fā)布了上述消息。騰訊、360等互聯(lián)網(wǎng)安全公司發(fā)布了預(yù)警信息。

據(jù)360安全大腦的通報，目前已經(jīng)收到多起國內(nèi)用戶感染GandCrab5.2版勒索病毒反饋。福建武夷煙葉有限公司的通知顯示，目前，我國部分政府部門郵箱已遭到攻擊。

經(jīng)分析研判，該勒索病毒版本號為GANDCRAB V5.2，是2019年2月最新升級的勒索病毒版本，運行后將對用戶主機硬盤數(shù)據(jù)全盤加密，并讓受害用戶訪問網(wǎng)址下載Tor瀏覽器，隨后通過Tor瀏覽器登錄攻擊者的數(shù)字貨幣支付窗口，要求受害用戶繳納贖金。

騰訊御見威脅情報中心安全專家告訴澎湃新聞記者，該病毒在國內(nèi)擅長使用弱口令爆破、掛馬、垃圾郵件傳播，由于使用了RSA+Salsa20的加密方式，受害用戶在無法拿到病毒作者手中私鑰常規(guī)情況下，無法解密。

據(jù)悉，GandCrab勒索病毒是國內(nèi)目前最活躍的勒索病毒之一，在過去一年時間經(jīng)過5次大版本更新，一直和安全廠商、執(zhí)法部門斗智斗勇。

360安全大腦專家人員表示，病毒郵件還會偽裝成韓國江東警方，聲稱用戶在網(wǎng)絡(luò)上有違法行為，將起訴其侵犯他人名譽，要求用戶下載附件中的“文檔”并填寫相關(guān)信息，用于調(diào)查，而所謂的調(diào)查文檔正是偽裝成文檔的GandCrab5.2勒索病毒。

對于GandCrab勒索病毒，安全專家建議，不要打開來歷不明的郵件附件；及時安裝主流殺毒軟件，升級病毒庫；在Windows中禁用U盤的自動運行功能及時升級操作系統(tǒng)安全補丁，升級Web、數(shù)據(jù)庫等服務(wù)程序，防止病毒利用漏洞傳播；對已感染主機或服務(wù)器采取斷網(wǎng)措施，防止病毒擴散蔓延。

另據(jù)北京市公安局網(wǎng)警巡查執(zhí)法賬號“首都網(wǎng)警”3月11日消息，北京網(wǎng)絡(luò)與信息安全信息通報中心通報，近日，一種勒索病毒GlobeImposter再次變種后在網(wǎng)上傳播，目前該病毒已在多個省份出現(xiàn)感染情況。一旦感染該勒索病毒，網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫文件將被病毒加密，并須支付勒索資金才能恢復(fù)文件。

寧夏網(wǎng)絡(luò)安全信息通報中心技術(shù)支撐單位深信服安全團隊監(jiān)測發(fā)現(xiàn)，該勒索病毒已席卷全國各地醫(yī)院，已在多個省份形成規(guī)模爆發(fā)趨勢。此次事件安全風(fēng)險級別為“高?！?。

360安全專家表示，GlobeImposter主要通過RDP弱口令爆破入侵服務(wù)器。成功入侵一臺設(shè)備之后，黑客通常會通過這臺設(shè)備做跳板，再次攻擊內(nèi)網(wǎng)其他設(shè)備。當拿下一定規(guī)模的設(shè)備后，黑客便會通過一些腳本和工具半自動的將勒索病毒投放到被拿下的機器中，因此GlobeImposter經(jīng)常會出現(xiàn)成規(guī)模的集中爆發(fā)情況。

北京網(wǎng)絡(luò)與信息安全信息通報中心建議，及時開展自查驗證；所有服務(wù)器、終端應(yīng)強行實施復(fù)雜密碼策略，杜絕弱口令；安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫；及時安裝漏洞補?。环?wù)器開啟關(guān)鍵日志收集功能，為安全事件的追溯提供基礎(chǔ)；盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口；建議關(guān)閉遠程桌面協(xié)議；合理劃分內(nèi)網(wǎng)安全域；強化業(yè)務(wù)數(shù)據(jù)備份；加強應(yīng)急處置，加強監(jiān)測。