2月1日雷鋒網(wǎng)消息，騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)，從2018年10月份開始惡意JS電子郵件附件數(shù)量持續(xù)增長。經(jīng)分析發(fā)現(xiàn)，攻擊者通過發(fā)送釣魚郵件，誘導(dǎo)受害者打開并運行附件中的惡意JS腳本，進而下載Shade（幽靈）勒索病毒。

該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點，之后再通過這些被入侵的站點繼續(xù)傳播Shade（幽靈）勒索病毒。截止目前，已有超過2000個CMS站點遭到入侵。

注：cms站點是被業(yè)內(nèi)廣泛使用的內(nèi)容管理系統(tǒng)，企業(yè)或個人可通過CMS系統(tǒng)創(chuàng)建自己的博客、知識庫、社區(qū)、論壇等內(nèi)容網(wǎng)站。

Shade（幽靈）勒索病毒首次出現(xiàn)于2014年末，針對Windows操作系統(tǒng)，它主要通過Axpergle和Nuclear漏洞攻擊包、釣魚郵件等進行分發(fā)。歷史版本加密文件后綴有“.da_vinci_code”、“.magic_software_syndicate”、“.no_more_ransom”、“.dexter”。而本次發(fā)現(xiàn)的病毒版本為v4.0.0.1，加密文件后會添加“. crypted000007”后綴。

該版本的Shade（幽靈）勒索病毒具有如下特點：

1、加密jpg，jpeg，png，xls，xlsx，doc，docx，ppt，txt，mp3，mp4，mov等上百種常用類型的數(shù)據(jù)文件，不影響系統(tǒng)的正常運行；
2、檢查文件是否已經(jīng)被加密，避免重復(fù)加密；
3、刪除卷影信息，刪除備份相關(guān)文件；
4、設(shè)置受害者的電腦桌面背景，英俄雙語提示受害者文件已經(jīng)被勒索；
5、在受害者的電腦桌面上，創(chuàng)建了10個內(nèi)容相同的文件README1.txt，... README10.txt，文件中分別用英俄雙語引導(dǎo)受害者通過郵件或者Tor網(wǎng)絡(luò)與攻擊者聯(lián)系解密；
6、所有C2服務(wù)器都位于Tor網(wǎng)絡(luò)上；
7、該版本的Shade（幽靈）勒索病毒樣本，絕大多數(shù)被存放在被攻陷的wordpress站點上，并偽裝成jpg和pdf文件；
8、下載CMSBrute（CMS暴力破解者）模塊入侵安全系數(shù)相對較低的wordpress等CMS站點，攻陷的站點將作為Shade（幽靈）勒索病毒的樣本分發(fā)服務(wù)器。

Shade（幽靈）勒索病毒的攻擊流程大致如下圖所示：

安全專家建議企業(yè)用戶，

1、盡量關(guān)閉不必要的端口，如：445、135，139等，對3389，5900等端口可進行白名單配置，只允許白名單內(nèi)的IP連接登陸。

2、盡量關(guān)閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問權(quán)限，禁用對共享文件夾的匿名訪問。

3、采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務(wù)器密碼使用高強度且無規(guī)律密碼，并且強制要求每個服務(wù)器使用不同密碼管理。

4、對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進一步攻擊其他服務(wù)器。

5、對重要文件和數(shù)據(jù)（數(shù)據(jù)庫等數(shù)據(jù)）進行定期非本地備份。

6、教育終端用戶謹慎下載陌生郵件附件，不要隨意點擊運行或打開附件中未知的文件。

7、在終端/服務(wù)器部署專業(yè)安全防護軟件，Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護能力的云服務(wù)。

對于個人用戶來說，勿隨意打開陌生郵件，或運行郵件附件中的未知文件，同時關(guān)閉Office執(zhí)行宏代碼，最重要的是及時備份數(shù)據(jù)文檔。 

來源：騰訊御見威脅情報中心

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。