知名企業接連遭受勒索軟件攻擊，郵件安全警鐘再次敲響頭條網

2020-12-11 00:49:50 佚名

7月底，知名運動穿戴設備製造商Garmin遭遇勒索軟件攻擊，導致國際服務器癱瘓，大量穿戴設備無法同步數據，此次事故持續長達數日；

8月6日，佳能被爆遭遇毀滅性勒索軟件攻擊，多達10TB數據被盜，始作俑者正是曾攻擊LG、施樂等多個大品牌企業的Maze勒索軟件團伙。

……

短短几日，接連有國際知名企業遭受勒索軟件攻擊，給所有企業和機構又一次敲響警鐘。對於企業而言，勒索軟件攻擊所造成的損失可能遠遠超過贖金，包括重要數據丟失或破壞、聲譽受損以及核心業務被中斷……每一項都能給企業帶來毀滅性打擊。

電子郵件作為網絡攻擊中最常見的手段，也成為傳播勒索軟件的主要途徑之一。根據360反勒索服務數據，2019年勒索病毒傳播方式中，郵件傳播佔比排名第二，高達12.8%，僅次於遠程桌面入侵。

勒索病毒如何通過電子郵件傳播？

據統計，約有91%的網絡攻擊是由電子郵件散佈惡意鏈接和不可信任的文檔散播進行惡意攻擊，在新冠肺炎疫情期間，通過網絡釣魚（Phishing）和勒索軟件（Ransomware）的惡意攻擊增長5倍，此類攻擊可能埋伏許久，在最適時機發動攻擊，並非一朝一夕發生。

黑客通過不斷掃描網絡，找出計算機未修補的系統漏洞，或採用暴力破解方式，以遠程桌面服務進行強制登入，目的就是要取得系統管理者權限，以便在企業計算機上安裝勒索軟件、進行大規模破壞與勒索，而為了要提高受害者付款機率，攻擊者有可能會潛伏在企業一陣子。

此外，無論是個人還是商業用途，電子郵件應用都非常廣泛，因此作為勒索軟件的傳播工具具備天然的普及性。即便在2020年，互聯網用戶整體安全意識仍然較差，往往會成為攻擊者成功滲透進入企業內部系統的“漏洞”。

利用社交工程，攻擊者偽裝成簡歷、企業通知、發票等文檔或者可執行文件類的釣魚郵件，在附件中添加包含有惡意代碼的腳本，一旦用戶打開附件，系統便會自動執行惡意腳本釋放勒索病毒；同時還可以通過大批量分發包含釣魚網站地址的垃圾郵件，誘導用戶進入網站下載惡意文件。

如果附件要求啟用宏，也需要特別小心，這也是勒索軟件傳播的一種常見方式。

一旦被勒索軟件感染，計算機或者服務器將可能無法正常訪問，或者重要數據、文件被加密，進而被告知支付贖金後才可以解密文件、恢復系統正常運行。而支付贖金後是否能完全恢復數據，這也是個未知數。

以這次攻擊佳能的Maze勒索病毒為例，其又被稱為Chacha勒索病毒，在去年五月份被首次發現。

Maze勒索病毒可以通過誘餌文檔傳播，其中包含惡意宏代碼。啟動宏代碼會讀取窗體中的數據，然後進行解析，其主要功能是下載Maze勒索病毒主體文件，對於不同的變種文件，其勒索主體文件下載地址和文件名稱會發生變化。

Maze勒索病毒運行後便會加密系統數據，而且加密完成後，病毒不會自動刪除，而是循環播放文件被加密的錄音，同時強制更改桌面背景圖告知用戶感染病毒需支付贖金。

如何預防郵件勒索病毒？

根據守內安與 ASRC 研究中心數據統計，2020年第二季度病毒郵件數量較上一季度增長了約60%，以夾帶惡意 .img 文件為多，佔了總量 1/3 以上。病毒郵件常用的壓縮文件格式分別為 .ace 與 .rar，甚至比 Windows 內能解壓縮的.zip壓縮格式還要多。2020 年第二季度，守內安的客戶服務事件同比增長了 35.6%。郵件攻擊形勢愈發嚴峻。如何辨認惡意郵件，防止感染勒索病毒，這裡給出以下幾條建議：

1、使用高效的電子郵件過濾系統

建議使用能防禦病毒、未知威脅的電子郵件過濾系統，在遇到威脅郵件時，系統能發出提醒，讓收件人提高警惕。該系統能保持實時更新，擁有完善的特徵庫、指紋庫和惡意網址數據庫雲端差分更新技術。

此外，使用者不要忽略每一次系統發出的警告，合理設定重送、取回及白名單策略。

2、檢查郵件發送者，確認郵件地址是否可信

一般來說，通過電子郵件傳播惡意軟件基本是廣撒網的形式，通常仔細辨認郵件地址的來源能判斷出是否為可信地址；當然，也不排除朋友或者同事的企業郵箱賬號密碼洩露，被攻擊者利用來群發郵件，這種情況下最好事先跟本人確認郵件的真實性。

3、不要輕易打開不明來源文件

無論是郵件附件還是網站下載的文件，在無法確認來源是否安全的前提下不要輕易打開，尤其是Office文件、zip、rar等壓縮包文件。如有必要，企業用戶可以求助專業部門協助安全檢查。

4、關閉Office宏服務

如果沒有特別需求，可以關閉Office的宏服務，能夠減少中招幾率。

5、定期做好數據備份

為以防萬一，個人和企業都應該定期備份重要數據、文件，有必要甚至可以多重備份。以便在發生緊急事故造成數據丟失或者被加密，能夠儘快恢復正常工作。

6、企業安全意識培訓不可忽視