信息化觀察網(wǎng)

7月底，知名運(yùn)動穿戴設(shè)備制造商Garmin遭遇勒索軟件攻擊，導(dǎo)致國際服務(wù)器癱瘓，大量穿戴設(shè)備無法同步數(shù)據(jù)，此次事故持續(xù)長達(dá)數(shù)日；

8月6日，佳能被爆遭遇毀滅性勒索軟件攻擊，多達(dá)10TB數(shù)據(jù)被盜，始作俑者正是曾攻擊LG、施樂等多個大品牌企業(yè)的Maze勒索軟件團(tuán)伙。

……

短短幾日，接連有國際知名企業(yè)遭受勒索軟件攻擊，給所有企業(yè)和機(jī)構(gòu)又一次敲響警鐘。對于企業(yè)而言，勒索軟件攻擊所造成的損失可能遠(yuǎn)遠(yuǎn)超過贖金，包括重要數(shù)據(jù)丟失或破壞、聲譽(yù)受損以及核心業(yè)務(wù)被中斷……每一項(xiàng)都能給企業(yè)帶來毀滅性打擊。

電子郵件作為網(wǎng)絡(luò)攻擊中最常見的手段，也成為傳播勒索軟件的主要途徑之一。根據(jù)360反勒索服務(wù)數(shù)據(jù)，2019年勒索病毒傳播方式中，郵件傳播占比排名第二，高達(dá)12.8%，僅次于遠(yuǎn)程桌面入侵。

勒索病毒如何通過電子郵件傳播？

據(jù)統(tǒng)計(jì)，約有91%的網(wǎng)絡(luò)攻擊是由電子郵件散布惡意鏈接和不可信任的文檔散播進(jìn)行惡意攻擊，在新冠肺炎疫情期間，通過網(wǎng)絡(luò)釣魚（Phishing）和勒索軟件（Ransomware）的惡意攻擊增長5倍，此類攻擊可能埋伏許久，在最適時(shí)機(jī)發(fā)動攻擊，并非一朝一夕發(fā)生。

黑客通過不斷掃描網(wǎng)絡(luò)，找出計(jì)算機(jī)未修補(bǔ)的系統(tǒng)漏洞，或采用暴力破解方式，以遠(yuǎn)程桌面服務(wù)進(jìn)行強(qiáng)制登入，目的就是要取得系統(tǒng)管理者權(quán)限，以便在企業(yè)計(jì)算機(jī)上安裝勒索軟件、進(jìn)行大規(guī)模破壞與勒索，而為了要提高受害者付款機(jī)率，攻擊者有可能會潛伏在企業(yè)一陣子。

此外，無論是個人還是商業(yè)用途，電子郵件應(yīng)用都非常廣泛，因此作為勒索軟件的傳播工具具備天然的普及性。即便在2020年，互聯(lián)網(wǎng)用戶整體安全意識仍然較差，往往會成為攻擊者成功滲透進(jìn)入企業(yè)內(nèi)部系統(tǒng)的“漏洞”。

利用社交工程，攻擊者偽裝成簡歷、企業(yè)通知、發(fā)票等文檔或者可執(zhí)行文件類的釣魚郵件，在附件中添加包含有惡意代碼的腳本，一旦用戶打開附件，系統(tǒng)便會自動執(zhí)行惡意腳本釋放勒索病毒；同時(shí)還可以通過大批量分發(fā)包含釣魚網(wǎng)站地址的垃圾郵件，誘導(dǎo)用戶進(jìn)入網(wǎng)站下載惡意文件。

如果附件要求啟用宏，也需要特別小心，這也是勒索軟件傳播的一種常見方式。

一旦被勒索軟件感染，計(jì)算機(jī)或者服務(wù)器將可能無法正常訪問，或者重要數(shù)據(jù)、文件被加密，進(jìn)而被告知支付贖金后才可以解密文件、恢復(fù)系統(tǒng)正常運(yùn)行。而支付贖金后是否能完全恢復(fù)數(shù)據(jù)，這也是個未知數(shù)。

以這次攻擊佳能的Maze勒索病毒為例，其又被稱為Chacha勒索病毒，在去年五月份被首次發(fā)現(xiàn)。

Maze勒索病毒可以通過誘餌文檔傳播，其中包含惡意宏代碼。啟動宏代碼會讀取窗體中的數(shù)據(jù)，然后進(jìn)行解析，其主要功能是下載Maze勒索病毒主體文件，對于不同的變種文件，其勒索主體文件下載地址和文件名稱會發(fā)生變化。

Maze勒索病毒運(yùn)行后便會加密系統(tǒng)數(shù)據(jù)，而且加密完成后，病毒不會自動刪除，而是循環(huán)播放文件被加密的錄音，同時(shí)強(qiáng)制更改桌面背景圖告知用戶感染病毒需支付贖金。

如何預(yù)防郵件勒索病毒？

根據(jù)守內(nèi)安與 ASRC 研究中心數(shù)據(jù)統(tǒng)計(jì)，2020年第二季度病毒郵件數(shù)量較上一季度增長了約60%，以夾帶惡意 .img 文件為多，占了總量 1/3 以上。病毒郵件常用的壓縮文件格式分別為 .ace 與 .rar，甚至比 Windows 內(nèi)能解壓縮的.zip壓縮格式還要多。2020 年第二季度，守內(nèi)安的客戶服務(wù)事件同比增長了 35.6%。郵件攻擊形勢愈發(fā)嚴(yán)峻。如何辨認(rèn)惡意郵件，防止感染勒索病毒，這里給出以下幾條建議：

1、使用高效的電子郵件過濾系統(tǒng)

建議使用能防御病毒、未知威脅的電子郵件過濾系統(tǒng)，在遇到威脅郵件時(shí)，系統(tǒng)能發(fā)出提醒，讓收件人提高警惕。該系統(tǒng)能保持實(shí)時(shí)更新，擁有完善的特征庫、指紋庫和惡意網(wǎng)址數(shù)據(jù)庫云端差分更新技術(shù)。

此外，使用者不要忽略每一次系統(tǒng)發(fā)出的警告，合理設(shè)定重送、取回及白名單策略。

2、檢查郵件發(fā)送者，確認(rèn)郵件地址是否可信

一般來說，通過電子郵件傳播惡意軟件基本是廣撒網(wǎng)的形式，通常仔細(xì)辨認(rèn)郵件地址的來源能判斷出是否為可信地址；當(dāng)然，也不排除朋友或者同事的企業(yè)郵箱賬號密碼泄露，被攻擊者利用來群發(fā)郵件，這種情況下最好事先跟本人確認(rèn)郵件的真實(shí)性。

3、不要輕易打開不明來源文件

無論是郵件附件還是網(wǎng)站下載的文件，在無法確認(rèn)來源是否安全的前提下不要輕易打開，尤其是Office文件、zip、rar等壓縮包文件。如有必要，企業(yè)用戶可以求助專業(yè)部門協(xié)助安全檢查。

4、關(guān)閉Office宏服務(wù)

如果沒有特別需求，可以關(guān)閉Office的宏服務(wù)，能夠減少中招幾率。

5、定期做好數(shù)據(jù)備份

為以防萬一，個人和企業(yè)都應(yīng)該定期備份重要數(shù)據(jù)、文件，有必要甚至可以多重備份。以便在發(fā)生緊急事故造成數(shù)據(jù)丟失或者被加密，能夠盡快恢復(fù)正常工作。

6、企業(yè)安全意識培訓(xùn)不可忽視

在現(xiàn)在的網(wǎng)絡(luò)安全體系中，人往往會成為最薄弱且最容易被忽視的部分。事實(shí)證明，多數(shù)網(wǎng)絡(luò)攻擊都是因?yàn)閱T工的安全意識薄弱才讓攻擊者趁虛而入。因此企業(yè)有必要加強(qiáng)員工安全意識培訓(xùn)，甚至可以嚴(yán)格要求其采用一些安全保護(hù)措施，例如開啟郵箱的雙重驗(yàn)證等。

守內(nèi)安 SPAM SQR 以多層過濾機(jī)制對抗勒索病毒入侵

●ASRC 威脅特征、指紋庫及附件辨識技術(shù)，分級分類惡意郵件

●防毒引擎結(jié)合自動指紋辨識與?ASRC?病毒特征，提供郵件雙向掃描過濾，可以防堵病毒、蠕蟲等惡意軟件擴(kuò)散

●ADM 高級防御模塊，深層防御 APT、BEC詐騙等新型態(tài)郵件攻擊

●動態(tài)沙箱整合，可疑附件拆離傳送至沙箱進(jìn)行比對提高分析效能

●威脅郵件行為控管，降低誤點(diǎn)擊不當(dāng)惡意網(wǎng)站或是執(zhí)行惡意軟件的風(fēng)險(xiǎn)