兩款勒索病毒近日攻擊我國(guó)部分政府部門和醫(yī)院等公立機(jī)構(gòu)。

據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，2019年3月11日起，境外某黑客組織對(duì)我國(guó)有關(guān)政府部門開展勒索病毒郵件攻擊。郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到！”，發(fā)件人名為“Min，GapRyong”（有報(bào)告稱還有其他假冒發(fā)件人約70余個(gè)），郵件附件名為“03-11-19.rar”。

3月13日，據(jù)澎湃新聞?dòng)浾吡私猓鄠€(gè)政府單位和企業(yè)收到了上述緊急通知，湖北省宜昌市夷陵區(qū)政府、中國(guó)煙草旗下福建武夷煙葉有限公司、中國(guó)科學(xué)院金屬研究所等在其官網(wǎng)發(fā)布了上述消息。騰訊、360等互聯(lián)網(wǎng)安全公司發(fā)布了預(yù)警信息。

據(jù)360安全大腦的通報(bào)，目前已經(jīng)收到多起國(guó)內(nèi)用戶感染GandCrab5.2版勒索病毒反饋。福建武夷煙葉有限公司的通知顯示，目前，我國(guó)部分政府部門郵箱已遭到攻擊。

經(jīng)分析研判，該勒索病毒版本號(hào)為GANDCRAB V5.2，是2019年2月最新升級(jí)的勒索病毒版本，運(yùn)行后將對(duì)用戶主機(jī)硬盤數(shù)據(jù)全盤加密，并讓受害用戶訪問網(wǎng)址下載Tor瀏覽器，隨后通過Tor瀏覽器登錄攻擊者的數(shù)字貨幣支付窗口，要求受害用戶繳納贖金。

騰訊御見威脅情報(bào)中心安全專家告訴澎湃新聞?dòng)浾?，該病毒在?guó)內(nèi)擅長(zhǎng)使用弱口令爆破、掛馬、垃圾郵件傳播，由于使用了RSA+Salsa20的加密方式，受害用戶在無(wú)法拿到病毒作者手中私鑰常規(guī)情況下，無(wú)法解密。

據(jù)悉，GandCrab勒索病毒是國(guó)內(nèi)目前最活躍的勒索病毒之一，在過去一年時(shí)間經(jīng)過5次大版本更新，一直和安全廠商、執(zhí)法部門斗智斗勇。

360安全大腦專家人員表示，病毒郵件還會(huì)偽裝成韓國(guó)江東警方，聲稱用戶在網(wǎng)絡(luò)上有違法行為，將起訴其侵犯他人名譽(yù)，要求用戶下載附件中的“文檔”并填寫相關(guān)信息，用于調(diào)查，而所謂的調(diào)查文檔正是偽裝成文檔的GandCrab5.2勒索病毒。

對(duì)于GandCrab勒索病毒，安全專家建議，不要打開來歷不明的郵件附件；及時(shí)安裝主流殺毒軟件，升級(jí)病毒庫(kù)；在Windows中禁用U盤的自動(dòng)運(yùn)行功能及時(shí)升級(jí)操作系統(tǒng)安全補(bǔ)丁，升級(jí)Web、數(shù)據(jù)庫(kù)等服務(wù)程序，防止病毒利用漏洞傳播；對(duì)已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施，防止病毒擴(kuò)散蔓延。

另?yè)?jù)北京市公安局網(wǎng)警巡查執(zhí)法賬號(hào)“首都網(wǎng)警”3月11日消息，北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)，近日，一種勒索病毒GlobeImposter再次變種后在網(wǎng)上傳播，目前該病毒已在多個(gè)省份出現(xiàn)感染情況。一旦感染該勒索病毒，網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫(kù)文件將被病毒加密，并須支付勒索資金才能恢復(fù)文件。

寧夏網(wǎng)絡(luò)安全信息通報(bào)中心技術(shù)支撐單位深信服安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)，該勒索病毒已席卷全國(guó)各地醫(yī)院，已在多個(gè)省份形成規(guī)模爆發(fā)趨勢(shì)。此次事件安全風(fēng)險(xiǎn)級(jí)別為“高?！?。

360安全專家表示，GlobeImposter主要通過RDP弱口令爆破入侵服務(wù)器。成功入侵一臺(tái)設(shè)備之后，黑客通常會(huì)通過這臺(tái)設(shè)備做跳板，再次攻擊內(nèi)網(wǎng)其他設(shè)備。當(dāng)拿下一定規(guī)模的設(shè)備后，黑客便會(huì)通過一些腳本和工具半自動(dòng)的將勒索病毒投放到被拿下的機(jī)器中，因此GlobeImposter經(jīng)常會(huì)出現(xiàn)成規(guī)模的集中爆發(fā)情況。

北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心建議，及時(shí)開展自查驗(yàn)證；所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略，杜絕弱口令；安裝殺毒軟件、終端安全管理軟件并及時(shí)更新病毒庫(kù)；及時(shí)安裝漏洞補(bǔ)??；服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追溯提供基礎(chǔ)；盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口；建議關(guān)閉遠(yuǎn)程桌面協(xié)議；合理劃分內(nèi)網(wǎng)安全域；強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份；加強(qiáng)應(yīng)急處置，加強(qiáng)監(jiān)測(cè)。