CACTER郵件安全共建網路安全315：保護郵件系統，從處理emotet病毒郵件開始！

從去年12月至今，CAC郵件安全長期監測並接到包括關基單位、金融、高校行業的多家客戶反饋的大量emotet病毒郵件，其中近1月病毒郵件形勢如下.

快來加強保護吧！

根據態勢而言，Emotet 已再次成為最流行的惡意軟體， 科研教育成為受攻擊最嚴重的行業。

3月，CAC郵件安全大資料中心檢測到不法分子透過各種主題的病毒郵件誘導使用者開啟惡意附件。

Emotet病毒郵件常見型別主題

1、冒充業務往來使用者傳送給供應商，正文中註明附件解密密碼.

2、仿冒產品需求諮詢，誘導點選附件

典型特徵

綜合而言，emotet病毒郵件包含以下特徵

1、攜帶加密附件或office宏文件

2、正文中出現“Password”或“密碼”等關鍵詞，加密附件的密碼出現在正文

3、出現一些歷史郵件的轉發資訊

4、近期的emotet主要是附件用xlsm 以及附件為加密壓縮包，壓縮包內是xlsm。

二、Emotet病毒郵件的危害

使用正文中密碼解壓後為含有惡意宏的xls文件，執行後會在C:\programdata資料夾下生成兩個指令碼，yhjlswle.vbs和ughldskbhn.bat，指令碼執行後會訪問指定連結，下載第二階段的遠控程式GMtz6DxM.dll，透過執行GMtz6DxM.dll回連某個殭屍主機獲取遠控許可權。

Emotet病毒郵件防護策略

1、收到此類郵件建議 用其他社交方式與發信人取得聯絡，若確認為病毒郵件，則馬上上報安全部門

2、此類加密壓縮的檔案，如果一定要開啟，建議放到 虛擬機器的測試環境（斷網）開啟

3、為了能將病毒郵件與正常郵件行為有所區分，建議日常傳送加密壓縮附件時，應該以其他手段將密碼通知收件人，而不是放在正文

4、若不小心點選了附件，建議馬上 切斷中招PC的網路，並馬上聯絡安全部門清理上網環境

5、個人PC安裝防毒軟體，並保持更新。