一、情况分析
近日,亚信安全截获传播“侠盗”勒索病毒(GandCrab)的韩语垃圾邮件, 此类垃圾邮件假冒快递公司向收件人发送虚假订单信息,诱骗用户打开包含GandCrab勒索病毒的邮件附件,亚信安全已经拦截该病毒,并将其命名为Ransom.Win32.GANDCRAB.TIOIBOCX。
【传播“侠盗”勒索病毒(GandCrab)的韩语垃圾邮件范例】
此次截获的垃圾邮件的主题为“SHIPPED ORDER INCORRECT.”,邮件正文则是用韩语撰写的假冒快递公司发送运单通知,附件则是RAR文件,该RAR文件包含一个名为Fedex-info_2019-05-15_02-24.dok的可执行文件,此文件即为GandCrab勒索病毒。
执行该文件后,其会终止被感染系统中的特定进程,加密系统中的文件,提示勒索赎金信息。
二、解决方案
. 不要点击来源不明的邮件及附件;
. 不要访问邮件中的可疑链接;
. 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
. 尽量关闭不必要的文件共享;
. 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
. 浏览网页时不下载运行可疑程序;
. 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;
. 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。