警惕！Sodinokibi勒索病毒邮件在国内大量传播

作者：腾讯邮箱    发布时间：2019-10-30 22:13:48  访问量：3244  

近日，腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。数据显示，在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件，此次邮件传播的Sodinokibi勒索病毒在国内的感染最为严重地区为广东、山东、江苏、上海、北京等地。

该攻击钓鱼邮件，伪装成digis.net公司的人员Min Zhu Li作为发件人，邮件标题为“你需要偿还的债务”，附件文件为“您的账号.zip”，邮件内容是非正常显示的中文字符，最后一行为“财务选择”。

该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款收据.xls.exe”，一旦受害企业误判点击便会运行Sodinokibi勒索病毒。

sodinokibi勒索病毒对使用到的大量字串使用RC4算法进行加密，使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程，加密后修改桌面背景为深蓝色并创建勒索文本-readme.txt，被该病毒加密破坏的文件暂时无法解密。感染病毒的用户被勒索0.15个比特币(约7800元人民币)，并且页面显示需要在6天之内完成购买并转账，6天之后赎金将会翻倍。

企业成勒索病毒攻击重点，企业数据安全迫在眉睫。很多企业因数据安全管理缺失、系统老旧版本较低，等客观因素，导致企业网络更容易被入侵。而企业数据的高价值，让企业受害者倾向于支付赎金挽回数据。因此，勒索病毒越来越多针对政府机关、企业、医院、学校等机构用户。

安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：

1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

声明：本文由腾讯邮箱收集整理的《警惕！Sodinokibi勒索病毒邮件在国内大量传播》，如转载请保留链接:http://www.qq366.cn/news_in/185