警惕！黑客組織已瞄準中國中大型企業，發起大規模釣魚勒索

近日，江民赤豹安全實驗室追蹤到，前段時間造成巨大影響的“Sodinokibi”勒索病毒出現了新的變種，專門針對中國企業使用者進行持續釣魚攻擊。相比之前，本輪攻擊更有針對性和目的性，特意瞄準了具有支付能力的國內中大型企業。從江民反病毒監測中心資料顯示，國內以星*灣地產集團、上海科*諾股份等公司為代表的一批中大型集團、上市企業赫然出現在攻擊者的目錄中，此類具有較大影響力和支付能力的企業成為了攻擊者首選目標。

赤豹安全實驗室研究發現，“Sodinokibi”變種勒索病毒會偽裝成DHL國際快運公司此類的第三方服務機構的郵箱域名，大規模推送隱藏了勒索病毒附件的釣魚郵件，使用者一旦點選附件，就有可能感染勒索病毒，並新增了共享檔案感染的功能，感染後使用RSA+salsa20演算法加密電腦上的重要檔案，影響使用者關鍵業務執行，以此勒索鉅額贖金（超過3萬美金的比特幣）。

此外，“Sodinokibi”勒索病毒在執行加密時，會載入一個白名單，對其中指定的某些資料夾和檔案型別不加密，還排除了幾個俄語系國家及東歐國家不進行加密破壞行動，這充分表明了這是一次有預謀的具有地域針對性的黑客攻擊。

新的“Sodinokibi”變種病毒，黑客組織研究了國內主流殺軟防禦機制，特意進行了免殺處理，會繞開防毒軟體的防禦，導致了一些殺軟無法查殺，目前國內江民防毒軟體可以及時攔截查殺。

圖為免殺的部分程式碼

早於今年4月，江民赤豹安全實驗室就發現了“Sodinokibi”勒索病毒，其程式碼中多項特徵與GandCrab類似，被認為是GandCrab勒索軟體的“繼承者”。“Sodinokibi”勒索病毒會偽裝成稅務單位、司法機構、快遞公司，大規模推送釣魚欺詐郵件來傳播，感染後使用RSA+salsa20演算法加密電腦上的重要檔案，影響使用者關鍵業務執行。此次“Sodinokibi”新變種病毒會對使用到的大量字串進一步使用RC4演算法進行加密，最終使用RSA+salsa20的方式配合IOCP完成埠模型進行檔案的加密流程，被該病毒加密破壞的檔案暫時無法解密，請廣大使用者提高警惕，做好事前防禦工作。

快速辨別釣魚郵件

釣魚郵件的主要特點。釣魚郵件通常會偽裝成企業、機構、政府的身份或虛構人員，或使用偽造郵件地址，模仿正式通知的語氣，引導使用者去點選郵件中的不明連結、下載郵件的附件。但這些不明連結、附件，一旦點選就會自動下載木馬病毒，使用者電腦面臨賬號、資料被竊取，感染病毒的風險。

辨別釣魚郵件，首先關注來郵的地址資訊。電子郵件與常規郵件類似，其發信人地址可以分為信封地址和資訊地址，信封地址是發件人聲稱的地址，由發件人自己填寫；而資訊地址為郵件伺服器記錄的實際地址。從而可見，信封地址是可以偽造的，而使用者往往看到的就是發件人的信封地址（可以將游標移至發件人或信封地址後面檢視是否有地址不一致的提示）。一般來說一封正常的電子郵件應該是資訊地址和信封地址是相同的，如果不同，或標記“代發”的，就要特別小心，可以初步判斷可能是一封偽造郵件，也就是可能是釣魚郵件。

如何預防勒索病毒

江民赤豹安全實驗室專家表示，防範勒索病毒最重要的是做好事前防禦工作，使用者切勿抱有僥倖心理，中了勒索病毒再四處尋求解密途徑為時已晚，並且有很大風險。第一，中了勒索病毒加密系統檔案，可能影響重要業務系統執行，造成巨大損失；第二，真實事例表明，即使向攻擊者支付了贖金也不一定能解密成功，一些攻擊者只是從暗網買到勒索病毒程式以此牟取贖金，並沒有解密的祕鑰。與其寄希望於黑客的操守，不如事前做好防範措施。

江民安全專家提供使用者做好以下防範措施：

1). 對重要的資料檔案定期進行非本地備份，安裝江民防毒軟體並及時更新病毒庫；

2). 不要點選來源不明的郵件以及附件；

3). 重新命名vssadmin.exe程式，防止勒索病毒利用它一次性清除檔案的卷影副本；

4). Weblogic、Apache Struts2等伺服器元件及時安裝安全補丁，更新到最新版本；

5). 使用長度大於10位的複雜密碼，禁用GUEST來賓帳戶；

6). 儘量不要使用區域網共享，或把共享磁碟設定為只讀屬性，不允許區域網使用者改寫檔案；

7). 關閉不必要的埠，如：445、135、139、3389等；

8). 安裝江民赤豹端點全息系統，全面防禦勒索病毒，保護重要資料。