警惕！Sodinokibi勒索病毒郵件在國(guó)內(nèi)大量傳播

近日，騰訊安全御見威脅情報(bào)中心檢測(cè)到大量借助釣魚郵件傳播的sodinokibi勒索病毒攻擊中韓兩國(guó)企業(yè)。數(shù)據(jù)顯示，在一天之內(nèi)攻擊者使用偽造的近1000個(gè)郵箱地址針對(duì)國(guó)內(nèi)目標(biāo)發(fā)送超過5萬封釣魚郵件，此次郵件傳播的Sodinokibi勒索病毒在國(guó)內(nèi)的感染最為嚴(yán)重地區(qū)為廣東、山東、江蘇、上海、北京等地。

該攻擊釣魚郵件，偽裝成digis.net公司的人員Min Zhu Li作為發(fā)件人，郵件標(biāo)題為“你需要償還的債務(wù)”，附件文件為“您的賬號(hào).zip”，郵件內(nèi)容是非正常顯示的中文字符，最后一行為“財(cái)務(wù)選擇”。

該附件壓縮包解壓后為偽裝成xlsx文件的exe可執(zhí)行程序“付款收據(jù).xls.exe”，一旦受害企業(yè)誤判點(diǎn)擊便會(huì)運(yùn)行Sodinokibi勒索病毒。

sodinokibi勒索病毒對(duì)使用到的大量字串使用RC4算法進(jìn)行加密，使用RSA+salsa20的方式配合IOCP完成端口模型進(jìn)行文件的加密流程，加密后修改桌面背景為深藍(lán)色并創(chuàng)建勒索文本-readme.txt，被該病毒加密破壞的文件暫時(shí)無法解密。感染病毒的用戶被勒索0.15個(gè)比特幣(約7800元人民幣)，并且頁面顯示需要在6天之內(nèi)完成購(gòu)買并轉(zhuǎn)賬，6天之后贖金將會(huì)翻倍。

企業(yè)成勒索病毒攻擊重點(diǎn)，企業(yè)數(shù)據(jù)安全迫在眉睫。很多企業(yè)因數(shù)據(jù)安全管理缺失、系統(tǒng)老舊版本較低，等客觀因素，導(dǎo)致企業(yè)網(wǎng)絡(luò)更容易被入侵。而企業(yè)數(shù)據(jù)的高價(jià)值，讓企業(yè)受害者傾向于支付贖金挽回?cái)?shù)據(jù)。因此，勒索病毒越來越多針對(duì)政府機(jī)關(guān)、企業(yè)、醫(yī)院、學(xué)校等機(jī)構(gòu)用戶。

安全建議

企業(yè)用戶：

1、盡量關(guān)閉不必要的端口，如：445、135，139等，對(duì)3389，5900等端口可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸。

2、盡量關(guān)閉不必要的文件共享，如有需要，請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來限制訪問權(quán)限，禁用對(duì)共享文件夾的匿名訪問。

3、采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼，并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。

4、對(duì)沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

5、對(duì)重要文件和數(shù)據(jù)(數(shù)據(jù)庫等數(shù)據(jù))進(jìn)行定期非本地備份。

6、教育終端用戶謹(jǐn)慎下載陌生郵件附件，若非必要，應(yīng)禁止啟用Office宏代碼。

7、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件，Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。

8、建議全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)(https://s.tencent.com/product/yd/index.html)。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

個(gè)人用戶：

1、啟用騰訊電腦管家，勿隨意打開陌生郵件，關(guān)閉Office執(zhí)行宏代碼

2、打開電腦管家的文檔守護(hù)者功能，利用磁盤冗余空間自動(dòng)備份數(shù)據(jù)文檔，即使發(fā)生意外，數(shù)據(jù)也可有備無患。