亞信安全：新冠疫情蔓延到虛擬世界

5月14日消息，亞信安全發(fā)布了《2020年第一季度網(wǎng)絡(luò)安全威脅報告》。報告顯示，新冠疫情已經(jīng)成為不法分子普遍選擇的網(wǎng)絡(luò)攻擊誘餌，新冠疫情蔓延到虛擬世界。

在第一季度，亞信安全頻繁截獲了利用“新型冠狀病毒肺炎”疫情進行的網(wǎng)絡(luò)攻擊活動，攻擊中使用的文件名通常包含“冠狀病毒”、“武漢”、“疫情”等人們關(guān)注的熱門詞匯。其主要惡意行為包括遠(yuǎn)程控制、信息竊取、刪除系統(tǒng)文件和數(shù)據(jù)，造成系統(tǒng)無法啟動或者重要數(shù)據(jù)丟失。

偽裝成新冠肺炎進展信息的垃圾郵件

新冠疫情爆發(fā)時期，有用戶收到一封以“某疾控中心”為發(fā)信人的郵件，附件則是“本地新冠疫情感染者名單及行動軌跡”的文檔。用戶打開該附件，噩夢隨之開啟。這份夾帶著病毒的惡意文件，在打開之后，內(nèi)藏的勒索病毒 RobbinHood 感染了電腦系統(tǒng)，并關(guān)閉了殺毒軟件，隨后提醒你必須支付一定數(shù)額的比特幣，以恢復(fù)被鎖住的文件。

RobbinHood 勒索病毒攻擊流程

亞信安全介紹， RobbinHood 勒索病毒借用易受攻擊的驅(qū)動程序來刪除安全軟件。該驅(qū)動程序是主板廠商已經(jīng)棄用的軟件包的一部分，主程序 STEEL.EXE會將 ROBNR.EXE 文件釋放到 Windows\Temp 目錄中，然后利用合法的 gdrv.sys 驅(qū)動程序安裝惡意的驅(qū)動程序 rbnl.sys，該惡意驅(qū)動程序主要用于在內(nèi)核模式刪除安全軟件相關(guān)的進程或者文件，隨后便可以任意運行勒索病毒。

報告顯示，一季度亞信安全共攔截勒索病毒 23,045 次，勒索病毒雖然數(shù)量有所降低，但是攻擊手段卻持續(xù)創(chuàng)新，與安全廠商的技術(shù)對抗正在升級，這些動向都提醒企業(yè)與消費者必須更加關(guān)注網(wǎng)絡(luò)威脅防御，并及時升級網(wǎng)絡(luò)安全策略。

除了 RobbinHood 之外，本季度值得關(guān)注的新型勒索病毒還有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等，這些病毒已經(jīng)進化并整合了終止程序等功能，以更有效地實施攻擊行動。因此，對于勒索病毒的防范，亞信安全建議，要保持良好的網(wǎng)絡(luò)安全習(xí)慣，采取3-2-1規(guī)則來備份文件，并部署對抗勒索病毒更有效的安全軟件。