Paradise勒索病毒曝新变种,竟通过IQY文件扩散
近日,安全研究人员发现了Paradise勒索病毒的最新变种,其竟利用Internet Query Files(IQY)文件来扩散,该勒索病毒家族过去从未用过这类文件。以往,IQY文件只会被其他恶意程序利用发动攻击,如Necurs僵尸网络会利用IQY文件来散播FlawedAmmy远程登录工具(RAT)。此外,垃圾邮件通过恶意软件Bebloh和Ursnif也会利用IQY和PowerShell来扩散。
IQY是Microsoft Excel所使用的一种文件,这种文件内含有一些网址和其他向网际网络查询所需的内容。根据研究人员表示,IQY或许不像Microsoft Office其他文件格式那么广为人知,但同样也可能变成不法分子的攻击武器。此次的攻击并非利用Microsoft Excel的任何漏洞,因此就算是平常及时修补的系统还是有受害的风险。
IQY文件可用来下载一个可执行PowerShell和CMD等系统工具的Excel公式,而且因为是利用正常的Excel文件类型,所以还能避开安全软件的侦测。
该勒索病毒是通过含有IQY附件文件的垃圾邮件来扩散。当附件文件一旦被开启,就会向不法分子的幕后操纵(C&C)服务器取得一个恶意的Excel公式。该公式含有一道命令会执行PowerShell指令去下载一个执行文件。研究人员发现,这项针对亚洲某机构的攻击只持续了不到两天。
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打全系统及应用程序补丁;
尽量关闭不必要的文件共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全预测,在2020年,勒索病毒、挖矿病毒攻击仍是主流,随着云时代兴起,配置错误等人为错误会带来新安全威胁。企业威胁将更加复杂化,传统威胁与新的安全技术混合在一起,让企业面临更加严峻网络安全威胁。具体来说,这些预测包括:
行业热点:
【安全热报】入侵超过2.5亿帐号的银行木马Trickbot,再“变身”攻击Windows 10
亚信安全位居态势感知能力点阵领先者 | 数世咨询《网络安全态势感知能力指南》