勒索病毒攻击部分政府部门和医院：伪装成邮件对主机硬盘加密

两款勒索病毒近日攻击我国部分政府部门和医院等公立机构。

据国家网络与信息安全信息通报中心监测发现，2019年3月11日起，境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到！”，发件人名为“Min，GapRyong”（有报告称还有其他假冒发件人约70余个），邮件附件名为“03-11-19.rar”。

3月13日，据澎湃新闻记者了解，多个政府单位和企业收到了上述紧急通知，湖北省宜昌市夷陵区政府、中国烟草旗下福建武夷烟叶有限公司、中国科学院金属研究所等在其官网发布了上述消息。腾讯、360等互联网安全公司发布了预警信息。

据360安全大脑的通报，目前已经收到多起国内用户感染GandCrab5.2版勒索病毒反馈。福建武夷烟叶有限公司的通知显示，目前，我国部分政府部门邮箱已遭到攻击。

经分析研判，该勒索病毒版本号为GANDCRAB V5.2，是2019年2月最新升级的勒索病毒版本，运行后将对用户主机硬盘数据全盘加密，并让受害用户访问网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。

腾讯御见威胁情报中心安全专家告诉澎湃新闻记者，该病毒在国内擅长使用弱口令爆破、挂马、垃圾邮件传播，由于使用了RSA+Salsa20的加密方式，受害用户在无法拿到病毒作者手中私钥常规情况下，无法解密。

据悉，GandCrab勒索病毒是国内目前最活跃的勒索病毒之一，在过去一年时间经过5次大版本更新，一直和安全厂商、执法部门斗智斗勇。

360安全大脑专家人员表示，病毒邮件还会伪装成韩国江东警方，声称用户在网络上有违法行为，将起诉其侵犯他人名誉，要求用户下载附件中的“文档”并填写相关信息，用于调查，而所谓的调查文档正是伪装成文档的GandCrab5.2勒索病毒。

对于GandCrab勒索病毒，安全专家建议，不要打开来历不明的邮件附件；及时安装主流杀毒软件，升级病毒库；在Windows中禁用U盘的自动运行功能及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病毒利用漏洞传播；对已感染主机或服务器采取断网措施，防止病毒扩散蔓延。

另据北京市公安局网警巡查执法账号“首都网警”3月11日消息，北京网络与信息安全信息通报中心通报，近日，一种勒索病毒GlobeImposter再次变种后在网上传播，目前该病毒已在多个省份出现感染情况。一旦感染该勒索病毒，网络系统的数据库文件将被病毒加密，并须支付勒索资金才能恢复文件。

宁夏网络安全信息通报中心技术支撑单位深信服安全团队监测发现，该勒索病毒已席卷全国各地医院，已在多个省份形成规模爆发趋势。此次事件安全风险级别为“高危”。

360安全专家表示，GlobeImposter主要通过RDP弱口令爆破入侵服务器。成功入侵一台设备之后，黑客通常会通过这台设备做跳板，再次攻击内网其他设备。当拿下一定规模的设备后，黑客便会通过一些脚本和工具半自动的将勒索病毒投放到被拿下的机器中，因此GlobeImposter经常会出现成规模的集中爆发情况。

北京网络与信息安全信息通报中心建议，及时开展自查验证；所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础；尽量关闭不必要的文件共享权限以及关闭不必要的端口；建议关闭远程桌面协议；合理划分内网安全域；强化业务数据备份；加强应急处置，加强监测。