2月1日雷鋒網(wǎng)消息，騰訊御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，從2018年10月份開始惡意JS電子郵件附件數(shù)量持續(xù)增長(zhǎng)。經(jīng)分析發(fā)現(xiàn)，攻擊者通過(guò)發(fā)送釣魚郵件，誘導(dǎo)受害者打開并運(yùn)行附件中的惡意JS腳本，進(jìn)而下載Shade（幽靈）勒索病毒。

該勒索病毒會(huì)下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點(diǎn)，之后再通過(guò)這些被入侵的站點(diǎn)繼續(xù)傳播Shade（幽靈）勒索病毒。截止目前，已有超過(guò)2000個(gè)CMS站點(diǎn)遭到入侵。

注：cms站點(diǎn)是被業(yè)內(nèi)廣泛使用的內(nèi)容管理系統(tǒng)，企業(yè)或個(gè)人可通過(guò)CMS系統(tǒng)創(chuàng)建自己的博客、知識(shí)庫(kù)、社區(qū)、論壇等內(nèi)容網(wǎng)站。

Shade（幽靈）勒索病毒首次出現(xiàn)于2014年末，針對(duì)Windows操作系統(tǒng)，它主要通過(guò)Axpergle和Nuclear漏洞攻擊包、釣魚郵件等進(jìn)行分發(fā)。歷史版本加密文件后綴有“.da_vinci_code”、“.magic_software_syndicate”、“.no_more_ransom”、“.dexter”。而本次發(fā)現(xiàn)的病毒版本為v4.0.0.1，加密文件后會(huì)添加“. crypted000007”后綴。

該版本的Shade（幽靈）勒索病毒具有如下特點(diǎn)：

1、加密jpg，jpeg，png，xls，xlsx，doc，docx，ppt，txt，mp3，mp4，mov等上百種常用類型的數(shù)據(jù)文件，不影響系統(tǒng)的正常運(yùn)行；
2、檢查文件是否已經(jīng)被加密，避免重復(fù)加密；
3、刪除卷影信息，刪除備份相關(guān)文件；
4、設(shè)置受害者的電腦桌面背景，英俄雙語(yǔ)提示受害者文件已經(jīng)被勒索；
5、在受害者的電腦桌面上，創(chuàng)建了10個(gè)內(nèi)容相同的文件README1.txt，... README10.txt，文件中分別用英俄雙語(yǔ)引導(dǎo)受害者通過(guò)郵件或者Tor網(wǎng)絡(luò)與攻擊者聯(lián)系解密；
6、所有C2服務(wù)器都位于Tor網(wǎng)絡(luò)上；
7、該版本的Shade（幽靈）勒索病毒樣本，絕大多數(shù)被存放在被攻陷的wordpress站點(diǎn)上，并偽裝成jpg和pdf文件；
8、下載CMSBrute（CMS暴力破解者）模塊入侵安全系數(shù)相對(duì)較低的wordpress等CMS站點(diǎn)，攻陷的站點(diǎn)將作為Shade（幽靈）勒索病毒的樣本分發(fā)服務(wù)器。

Shade（幽靈）勒索病毒的攻擊流程大致如下圖所示：

安全專家建議企業(yè)用戶，

1、盡量關(guān)閉不必要的端口，如：445、135，139等，對(duì)3389，5900等端口可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸。

2、盡量關(guān)閉不必要的文件共享，如有需要，請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限，禁用對(duì)共享文件夾的匿名訪問(wèn)。

3、采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無(wú)規(guī)律密碼，并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。

4、對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

5、對(duì)重要文件和數(shù)據(jù)（數(shù)據(jù)庫(kù)等數(shù)據(jù)）進(jìn)行定期非本地備份。

6、教育終端用戶謹(jǐn)慎下載陌生郵件附件，不要隨意點(diǎn)擊運(yùn)行或打開附件中未知的文件。

7、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件，Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。

對(duì)于個(gè)人用戶來(lái)說(shuō)，勿隨意打開陌生郵件，或運(yùn)行郵件附件中的未知文件，同時(shí)關(guān)閉Office執(zhí)行宏代碼，最重要的是及時(shí)備份數(shù)據(jù)文檔。 

來(lái)源：騰訊御見威脅情報(bào)中心

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。