近日，騰訊安全御見威脅情報中心檢測到大量借助釣魚郵件傳播的sodinokibi勒索病毒攻擊中韓兩國企業(yè)。數據顯示，在一天之內攻擊者使用偽造的近1000個郵箱地址針對國內目標發(fā)送超過5萬封釣魚郵件，此次郵件傳播的Sodinokibi勒索病毒在國內的感染最為嚴重地區(qū)為廣東、山東、江蘇、上海、北京等地。

該攻擊釣魚郵件，偽裝成digis.net公司的人員Min Zhu Li作為發(fā)件人，郵件標題為“你需要償還的債務”，附件文件為“您的賬號.zip”，郵件內容是非正常顯示的中文字符，最后一行為“財務選擇”。

該附件壓縮包解壓后為偽裝成xlsx文件的exe可執(zhí)行程序“付款收據.xls.exe”，一旦受害企業(yè)誤判點擊便會運行Sodinokibi勒索病毒。

sodinokibi勒索病毒對使用到的大量字串使用RC4算法進行加密，使用RSA+salsa20的方式配合IOCP完成端口模型進行文件的加密流程，加密后修改桌面背景為深藍色并創(chuàng)建勒索文本-readme.txt，被該病毒加密破壞的文件暫時無法解密。感染病毒的用戶被勒索0.15個比特幣(約7800元人民幣)，并且頁面顯示需要在6天之內完成購買并轉賬，6天之后贖金將會翻倍。

企業(yè)成勒索病毒攻擊重點，企業(yè)數據安全迫在眉睫。很多企業(yè)因數據安全管理缺失、系統(tǒng)老舊版本較低，等客觀因素，導致企業(yè)網絡更容易被入侵。而企業(yè)數據的高價值，讓企業(yè)受害者傾向于支付贖金挽回數據。因此，勒索病毒越來越多針對政府機關、企業(yè)、醫(yī)院、學校等機構用戶。

安全建議

企業(yè)用戶：

1、盡量關閉不必要的端口，如：445、135，139等，對3389，5900等端口可進行白名單配置，只允許白名單內的IP連接登陸。

2、盡量關閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問權限，禁用對共享文件夾的匿名訪問。

3、采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務器密碼使用高強度且無規(guī)律密碼，并且強制要求每個服務器使用不同密碼管理。

4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。

5、對重要文件和數據(數據庫等數據)進行定期非本地備份。

6、教育終端用戶謹慎下載陌生郵件附件，若非必要，應禁止啟用Office宏代碼。

7、在終端/服務器部署專業(yè)安全防護軟件，Web服務器可考慮部署在騰訊云等具備專業(yè)安全防護能力的云服務。

8、建議全網安裝御點終端安全管理系統(tǒng)(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內網安全狀況、保護企業(yè)安全。

個人用戶：

1、啟用騰訊電腦管家，勿隨意打開陌生郵件，關閉Office執(zhí)行宏代碼

2、打開電腦管家的文檔守護者功能，利用磁盤冗余空間自動備份數據文檔，即使發(fā)生意外，數據也可有備無患。