经营大规模的赎金制品活动
企业应确保员工根据大规模赎金软件分销活动的证据意识到电子邮件附件的危险。
根据Ippariver的研究人员,于2017年8月28日,仅24小时内发送了超过2300万封电子邮件,只需24小时,含有锁定赎金瓶的变体的恶意附件。
作为第一行辩护,敦促业务通知员工与电子邮件附件相关的帆船风险。
建议企业特别注意提高能够获得高业务影响的敏感数据的员工的认识。
根据安全公司校样点,勒索软件是2017年第二季度最受欢迎的恶意软件形式,其中68%的恶意电子邮件呈现了一些赎金软件的恶意电子邮件。
特别是,电子邮件收件人应该警惕任何附件,以电子邮件发送给主题,如:请打印,文件,照片,图像,扫描,图片和付款。
一些最新的唱片园林发送电子邮件出现来自目标组织的扫描仪,打印机或其他合法来源,Warns Comodo威胁情报实验室。
最新版本的锁定Ransomware通常由在另一个ZIP文件中嵌套在另一个ZIP文件中的ZIP文件中下载,只要单击该文件。
然后,锁定在指示受害者安装Tor浏览器并访问的频率(DarkWeb)站点进行加密之前,加密系统上的所有文件,以处理价值约2,150美元的.5比特币。
一旦赎金支付,攻击者将承诺重定向到解密服务,但执法和安全行业代表之间的共识是咨询支付,因为没有保证文件将被解密或者攻击者不会再次罢工。
由于目前没有公开共享的方法来逆转最新的锁定变体,安全研究人员表示员工意识至关重要。
作为第二级防护,建议企业确保它们有系统,可以阻止欺骗电子邮件,并检测电子邮件网关等高级分析等恶意软件的新变体。
基于基于的消息认证,报告和符合(DMARC)ProtocolCan立即停止使用域欺骗的电子邮件欺诈。
使用DMARC,组织可以使用该组织的Domainis使用该组织来识别。
电子邮件网关应借鉴高级威胁情报,以使用静态和动态技术检查整个攻击链,并根据校对点不断适应新的威胁。
然而,随着锁定的每次复苏,赎金软件继续发展以逃避企业的安全防御,使其难以理解。
根据MalwareBytes Labs的安全研究人员,一些锁定的变体在2017年8月9日左右开始的最新锁定的赎金软件活动,包括沙箱逃避能力。
恶意软件作者使用了包含宏的Booby被困的Office文档来检索其有效载荷一段时间,但通常,在用户单击“启用内容”按钮时立即执行代码。
出于分析目的,许多沙箱默认降低了各种应用程序的安全设置,并使宏启用,允许自动捕获恶意有效载荷。
但是,Malcarytes研究员Marcelo Rivero发现,一些最新版本的锁定不仅仅是通过运行宏本身来触发,但等待在用户开始调用一组命令以下载勒索软件之前的假装文档并发出赎金需求。
“虽然不是一种复杂的技术,但它仍然说明了攻击者和捍卫者之间的持续猫和鼠标战斗。我们确定在他们目前的形式中,恶意文件可能在许多沙箱中表现出无害的行为,同时感染最终用户,当他们意识到没有任何东西可以看出,“Rivero和同事JérômeSegura写道博客帖子。
javvad malik,安全公司Alienvault的安全倡导者说,在如此大规模的恶意软件分布中,攻击者是银行的很多收件人没有安全控制来检测恶意软件,并没有意识到危险在打开这样的附件时存在。
“只需要一小部分收件人被感染攻击者的盈利,”他说。