網(wǎng)絡(luò)安全公司的研究人員于近日揭露了一場(chǎng)新發(fā)現(xiàn)的垃圾電子郵件活動(dòng)，旨在傳播GandCrab v4.3勒索軟件。電子郵件采用了并不常見的EGG文件（.egg格式）作為其附件，而這恰好是在韓國(guó)被廣泛使用的壓縮文件格式（相當(dāng)于.zip）。另外，電子郵件的標(biāo)題、正文以及附件文件名都使用的是韓文。所有這些信息無(wú)疑都透露出，這場(chǎng)活動(dòng)似乎就是專門針對(duì)韓國(guó)人而發(fā)起的。

上圖所示的垃圾電子郵件標(biāo)題可大致翻譯為“[公平貿(mào)易委員會(huì)]電子商務(wù)交易違規(guī)調(diào)查通知書”，攻擊者顯然意圖假借韓國(guó)公平貿(mào)易委員會(huì)（Fair Trade Commission Republic of Korea，KFTC）的名義來實(shí)施惡意行為。附件中的EGG文件也被賦予了與標(biāo)題大致相同的命名，可翻譯為“電子商務(wù)交易違規(guī)通知”。需要注意的是，EGG文件只能通過ALZip（一款韓國(guó)壓縮軟件）解壓。

感染鏈
安全人員表示，他們最初是在8月7日發(fā)現(xiàn)了這些垃圾電子郵件。通過對(duì)樣本的分析發(fā)現(xiàn)，附帶的EGG文件包含有三個(gè)文件：兩個(gè)偽裝成文檔（.doc）的.lnk快捷方式文件（LNK_GANDCRAB.E）和一個(gè).exe文件（在解壓縮.egg文件之后，會(huì)自動(dòng)隱藏）。在.lnk文件中，你會(huì)看到一個(gè)“VenusLocker_korean.exe”的簽名，這可能意味著VenusLocker組織就是這場(chǎng)垃圾電子郵件活動(dòng)的幕后操縱者。

如果收件人解壓EGG文件并在隨后打開了兩個(gè)偽裝為文檔的快捷方式文件，那么隱藏在的快捷方式文件中的GandCrab v4.3勒索軟件就會(huì)被執(zhí)行。在連接到C2服務(wù)器之后，GandCrab v4.3便會(huì)開始加密受感染設(shè)備上的文件。

如何防御GandCrab勒索軟件
根據(jù)統(tǒng)計(jì)數(shù)據(jù)，在 2018年3月至7月期間所檢測(cè)到的GandCrab勒索軟件感染數(shù)量，足以支撐它摘得“全球第二大勒索軟件家族”的稱號(hào)。普通用戶或者企業(yè)可以采取以來措施來消除這個(gè)日益壯大的勒索軟件家族的感染風(fēng)險(xiǎn)。措施如下：

▲定期備份重要文件；
▲保持應(yīng)用程序和操作系統(tǒng)的更新；
▲安全地使用系統(tǒng)組件和管理工具；
▲保護(hù)網(wǎng)絡(luò)和服務(wù)器；
▲部署應(yīng)用程序控制和行為監(jiān)控；
▲啟用沙盒；
▲保護(hù)網(wǎng)關(guān)；
▲進(jìn)行安全培訓(xùn)，以形成安全意識(shí)。

ice

收藏 海報(bào)分享