信息化觀察網(wǎng)

7月底，知名運動穿戴設(shè)備制造商Garmin遭遇勒索軟件攻擊，導(dǎo)致國際服務(wù)器癱瘓，大量穿戴設(shè)備無法同步數(shù)據(jù)，此次事故持續(xù)長達數(shù)日；

8月6日，佳能被爆遭遇毀滅性勒索軟件攻擊，多達10TB數(shù)據(jù)被盜，始作俑者正是曾攻擊LG、施樂等多個大品牌企業(yè)的Maze勒索軟件團伙。

……

短短幾日，接連有國際知名企業(yè)遭受勒索軟件攻擊，給所有企業(yè)和機構(gòu)又一次敲響警鐘。對于企業(yè)而言，勒索軟件攻擊所造成的損失可能遠遠超過贖金，包括重要數(shù)據(jù)丟失或破壞、聲譽受損以及核心業(yè)務(wù)被中斷……每一項都能給企業(yè)帶來毀滅性打擊。

電子郵件作為網(wǎng)絡(luò)攻擊中最常見的手段，也成為傳播勒索軟件的主要途徑之一。根據(jù)360反勒索服務(wù)數(shù)據(jù)，2019年勒索病毒傳播方式中，郵件傳播占比排名第二，高達12.8%，僅次于遠程桌面入侵。

勒索病毒如何通過電子郵件傳播？

據(jù)統(tǒng)計，約有91%的網(wǎng)絡(luò)攻擊是由電子郵件散布惡意鏈接和不可信任的文檔散播進行惡意攻擊，在新冠肺炎疫情期間，通過網(wǎng)絡(luò)釣魚（Phishing）和勒索軟件（Ransomware）的惡意攻擊增長5倍，此類攻擊可能埋伏許久，在最適時機發(fā)動攻擊，并非一朝一夕發(fā)生。

黑客通過不斷掃描網(wǎng)絡(luò)，找出計算機未修補的系統(tǒng)漏洞，或采用暴力破解方式，以遠程桌面服務(wù)進行強制登入，目的就是要取得系統(tǒng)管理者權(quán)限，以便在企業(yè)計算機上安裝勒索軟件、進行大規(guī)模破壞與勒索，而為了要提高受害者付款機率，攻擊者有可能會潛伏在企業(yè)一陣子。

此外，無論是個人還是商業(yè)用途，電子郵件應(yīng)用都非常廣泛，因此作為勒索軟件的傳播工具具備天然的普及性。即便在2020年，互聯(lián)網(wǎng)用戶整體安全意識仍然較差，往往會成為攻擊者成功滲透進入企業(yè)內(nèi)部系統(tǒng)的“漏洞”。

利用社交工程，攻擊者偽裝成簡歷、企業(yè)通知、發(fā)票等文檔或者可執(zhí)行文件類的釣魚郵件，在附件中添加包含有惡意代碼的腳本，一旦用戶打開附件，系統(tǒng)便會自動執(zhí)行惡意腳本釋放勒索病毒；同時還可以通過大批量分發(fā)包含釣魚網(wǎng)站地址的垃圾郵件，誘導(dǎo)用戶進入網(wǎng)站下載惡意文件。

如果附件要求啟用宏，也需要特別小心，這也是勒索軟件傳播的一種常見方式。

一旦被勒索軟件感染，計算機或者服務(wù)器將可能無法正常訪問，或者重要數(shù)據(jù)、文件被加密，進而被告知支付贖金后才可以解密文件、恢復(fù)系統(tǒng)正常運行。而支付贖金后是否能完全恢復(fù)數(shù)據(jù)，這也是個未知數(shù)。

以這次攻擊佳能的Maze勒索病毒為例，其又被稱為Chacha勒索病毒，在去年五月份被首次發(fā)現(xiàn)。

Maze勒索病毒可以通過誘餌文檔傳播，其中包含惡意宏代碼。啟動宏代碼會讀取窗體中的數(shù)據(jù)，然后進行解析，其主要功能是下載Maze勒索病毒主體文件，對于不同的變種文件，其勒索主體文件下載地址和文件名稱會發(fā)生變化。

Maze勒索病毒運行后便會加密系統(tǒng)數(shù)據(jù)，而且加密完成后，病毒不會自動刪除，而是循環(huán)播放文件被加密的錄音，同時強制更改桌面背景圖告知用戶感染病毒需支付贖金。

如何預(yù)防郵件勒索病毒？

根據(jù)守內(nèi)安與 ASRC 研究中心數(shù)據(jù)統(tǒng)計，2020年第二季度病毒郵件數(shù)量較上一季度增長了約60%，以夾帶惡意 .img 文件為多，占了總量 1/3 以上。病毒郵件常用的壓縮文件格式分別為 .ace 與 .rar，甚至比 Windows 內(nèi)能解壓縮的.zip壓縮格式還要多。2020 年第二季度，守內(nèi)安的客戶服務(wù)事件同比增長了 35.6%。郵件攻擊形勢愈發(fā)嚴峻。如何辨認惡意郵件，防止感染勒索病毒，這里給出以下幾條建議：

1、使用高效的電子郵件過濾系統(tǒng)

建議使用能防御病毒、未知威脅的電子郵件過濾系統(tǒng)，在遇到威脅郵件時，系統(tǒng)能發(fā)出提醒，讓收件人提高警惕。該系統(tǒng)能保持實時更新，擁有完善的特征庫、指紋庫和惡意網(wǎng)址數(shù)據(jù)庫云端差分更新技術(shù)。

此外，使用者不要忽略每一次系統(tǒng)發(fā)出的警告，合理設(shè)定重送、取回及白名單策略。

2、檢查郵件發(fā)送者，確認郵件地址是否可信

一般來說，通過電子郵件傳播惡意軟件基本是廣撒網(wǎng)的形式，通常仔細辨認郵件地址的來源能判斷出是否為可信地址；當然，也不排除朋友或者同事的企業(yè)郵箱賬號密碼泄露，被攻擊者利用來群發(fā)郵件，這種情況下最好事先跟本人確認郵件的真實性。

3、不要輕易打開不明來源文件

無論是郵件附件還是網(wǎng)站下載的文件，在無法確認來源是否安全的前提下不要輕易打開，尤其是Office文件、zip、rar等壓縮包文件。如有必要，企業(yè)用戶可以求助專業(yè)部門協(xié)助安全檢查。

4、關(guān)閉Office宏服務(wù)

如果沒有特別需求，可以關(guān)閉Office的宏服務(wù)，能夠減少中招幾率。

5、定期做好數(shù)據(jù)備份

為以防萬一，個人和企業(yè)都應(yīng)該定期備份重要數(shù)據(jù)、文件，有必要甚至可以多重備份。以便在發(fā)生緊急事故造成數(shù)據(jù)丟失或者被加密，能夠盡快恢復(fù)正常工作。

6、企業(yè)安全意識培訓(xùn)不可忽視

在現(xiàn)在的網(wǎng)絡(luò)安全體系中，人往往會成為最薄弱且最容易被忽視的部分。事實證明，多數(shù)網(wǎng)絡(luò)攻擊都是因為員工的安全意識薄弱才讓攻擊者趁虛而入。因此企業(yè)有必要加強員工安全意識培訓(xùn)，甚至可以嚴格要求其采用一些安全保護措施，例如開啟郵箱的雙重驗證等。

守內(nèi)安 SPAM SQR 以多層過濾機制對抗勒索病毒入侵

●ASRC 威脅特征、指紋庫及附件辨識技術(shù)，分級分類惡意郵件

●防毒引擎結(jié)合自動指紋辨識與?ASRC?病毒特征，提供郵件雙向掃描過濾，可以防堵病毒、蠕蟲等惡意軟件擴散

●ADM 高級防御模塊，深層防御 APT、BEC詐騙等新型態(tài)郵件攻擊

●動態(tài)沙箱整合，可疑附件拆離傳送至沙箱進行比對提高分析效能

●威脅郵件行為控管，降低誤點擊不當惡意網(wǎng)站或是執(zhí)行惡意軟件的風(fēng)險