臨近年終,勒索病毒又開始“趁亂作業”。這一次瞄準的是“拍照一族”和有圖片傳輸需求的辦公人士。近日,騰訊電腦管家在國內率先捕獲Scarab勒索病毒攻擊,該病毒利用Necurs僵尸網絡傳播,不法分子通過郵件向目標用戶發送帶“image”字眼的照片壓縮包,例如image2017-11-23-1696292等,用戶一旦點擊運行,Scarab勒索病毒會加密用戶文件,勒索贖金。
目前,騰訊電腦管家可攔截查殺此類病毒,同時建議廣大用戶開啟騰訊電腦管家“文檔守護者”功能,預防勒索病毒攻擊,實時保護個人文檔安全。
(騰訊電腦管家查殺Scarab勒索病毒)
此次Scarab釣魚郵件攻擊可謂是來勢洶洶。騰訊電腦管家研究人員分析發現,此次攻擊釣魚郵件主題往往以圖片資料、掃描件命名,例如:image2017-11-23-1696292等;郵件附件是同樣以圖片掃描件為名的7z壓縮包,在壓縮包內則是腳本病毒文件,一旦運行便會下載執行scarab勒索病毒。根據國外安全公司Forcepoint監控顯示,該次Scarab勒索病毒通過釣魚郵件撒網式攻擊,在短短的半天內就發送了上千萬封郵件,每小時大約發送200多萬封釣魚郵件。
(Forcepoint監控Scarab釣魚郵件傳播量)
從傳播方式上看,此次Scarab勒索病毒是利用了Necurs僵尸網絡進行傳播,釣魚郵件攻擊的命名方式與Necurs僵尸網絡以往發送的郵件主題與附件命名方式也極為相似。Necurs是世界上最大的惡意僵尸網絡之一,甚至被稱為“惡意木馬傳播的基礎設施”,曾有多個惡意家族木馬的傳播被證明或懷疑與Necurs木馬構建的僵尸網絡有關,包括臭名昭著的勒索病毒Locky、Jaff、GlobelImposter,和以銀行憑證為主要目標的木馬Dridex等。
騰訊電腦管家安全專家、騰訊安全聯合實驗室反病毒實驗室負責人馬勁松表示,Scarab是一個較新的勒索病毒變種,最早于6月份就被發現,但在此之前并未有大范圍傳播。此次Scarab勒索病毒突然爆發或許“留有后手”,建議廣大用戶開啟騰訊電腦管家文檔守護者功能,抵御病毒侵襲;對于安全性未知的郵件附件,還可上傳至哈勃分析系統鑒別安全等級。反病毒實驗室會持續對該病毒保持密切關注,保護廣大網民的電腦安全。
(新聞稿 2017-12-01)