近日,亚信安全网络监测实验室监测到“侠盗”勒索病毒再次异常活动,其利用中文繁体钓鱼邮件附件传播GandCrab 5.2 ,该勒索病毒加密系统中的文件并添加.IIKXD扩展名,勒索赎金大约是3000美元。亚信安全将其命名为Ransom.Win32.GANDCRAB.TIOIBOCR。
本次截获的钓鱼邮件是仿冒DHL公司向收件人发送与快递相关的钓鱼邮件,诱骗用户点击邮件附件,邮件附件包含“聯繫方式.exe”、“送貨信息.doc.exe”和“送貨信息.doc.lnk”三个恶意程序。这些恶意程序使用Word文档图标伪装自身,无论用户双击运行哪个文件都会导致GandCrab 5.2勒索病毒的执行。 |
|
被该病毒加密后的文件扩展名变为.IIKXD,其勒索提示信息如下: |
|
解决方案
尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 尽量关闭不必要的文件共享; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 不要点击来源不明的邮件以及附件; 浏览网页时不下载运行可疑程序; 及时更新系统,更新应用程序;打全系统及应用程序补丁程序; 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
|
|
总结
GANDCRAB勒索病毒并不是一只新型病毒,其首次出现在去年1月份,因其不断的变种,一直活跃至今,备受关注。GANDCRAB V5.2勒索病毒通过钓鱼邮件附件进行传播,针对此种传播方式,我们建议用户部署邮件网关产品作为第一道防线,在源头上进行阻断。另外,桌面防护产品也是必不可少,其可以有效阻止威胁到达客户端。亚信安全提醒广大用户,不仅要预防新型病毒,还要时刻警惕老病毒新变种,做好勒索病毒防护工作。