亞信安全：新冠疫情蔓延到虛擬世界

5月14日消息，亞信安全發(fā)布了《2020年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》。報(bào)告顯示，新冠疫情已經(jīng)成為不法分子普遍選擇的網(wǎng)絡(luò)攻擊誘餌，新冠疫情蔓延到虛擬世界。

在第一季度，亞信安全頻繁截獲了利用“新型冠狀病毒肺炎”疫情進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng)，攻擊中使用的文件名通常包含“冠狀病毒”、“武漢”、“疫情”等人們關(guān)注的熱門詞匯。其主要惡意行為包括遠(yuǎn)程控制、信息竊取、刪除系統(tǒng)文件和數(shù)據(jù)，造成系統(tǒng)無(wú)法啟動(dòng)或者重要數(shù)據(jù)丟失。

偽裝成新冠肺炎進(jìn)展信息的垃圾郵件

新冠疫情爆發(fā)時(shí)期，有用戶收到一封以“某疾控中心”為發(fā)信人的郵件，附件則是“本地新冠疫情感染者名單及行動(dòng)軌跡”的文檔。用戶打開(kāi)該附件，噩夢(mèng)隨之開(kāi)啟。這份夾帶著病毒的惡意文件，在打開(kāi)之后，內(nèi)藏的勒索病毒 RobbinHood 感染了電腦系統(tǒng)，并關(guān)閉了殺毒軟件，隨后提醒你必須支付一定數(shù)額的比特幣，以恢復(fù)被鎖住的文件。

RobbinHood 勒索病毒攻擊流程

亞信安全介紹， RobbinHood 勒索病毒借用易受攻擊的驅(qū)動(dòng)程序來(lái)刪除安全軟件。該驅(qū)動(dòng)程序是主板廠商已經(jīng)棄用的軟件包的一部分，主程序 STEEL.EXE會(huì)將 ROBNR.EXE 文件釋放到 Windows\Temp 目錄中，然后利用合法的 gdrv.sys 驅(qū)動(dòng)程序安裝惡意的驅(qū)動(dòng)程序 rbnl.sys，該惡意驅(qū)動(dòng)程序主要用于在內(nèi)核模式刪除安全軟件相關(guān)的進(jìn)程或者文件，隨后便可以任意運(yùn)行勒索病毒。

報(bào)告顯示，一季度亞信安全共攔截勒索病毒 23,045 次，勒索病毒雖然數(shù)量有所降低，但是攻擊手段卻持續(xù)創(chuàng)新，與安全廠商的技術(shù)對(duì)抗正在升級(jí)，這些動(dòng)向都提醒企業(yè)與消費(fèi)者必須更加關(guān)注網(wǎng)絡(luò)威脅防御，并及時(shí)升級(jí)網(wǎng)絡(luò)安全策略。

除了 RobbinHood 之外，本季度值得關(guān)注的新型勒索病毒還有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等，這些病毒已經(jīng)進(jìn)化并整合了終止程序等功能，以更有效地實(shí)施攻擊行動(dòng)。因此，對(duì)于勒索病毒的防范，亞信安全建議，要保持良好的網(wǎng)絡(luò)安全習(xí)慣，采取3-2-1規(guī)則來(lái)備份文件，并部署對(duì)抗勒索病毒更有效的安全軟件。