铜豌豆glfut疫情，铜豌豆的作品-胎教早教-景钰丽母婴用品

【情况概况】

新型冠状病感染的肺炎疫情发生后，安天推出重大社会事件网络安全应急值班制度。截至2月18日，安天CERT正在利用与COVID-19疫情相关的信息发现并追踪众多网络攻击案例，攻击者正在利用与COVID-19疫情相关的信息传播勒索软件、挖掘木马、创建远程控制后门。它传播开来。进行网络攻击的恶意代码。相关情况及时向国家和地方有关部门通报，并发布部分信息汇总，增强政商客户和公众的防范意识。

【情况调查研判】

安天发现并跟踪的案例中，不涉及新的先进技术或零日漏洞。其主要特点是利用疫情期间大家对最新信息的高度兴趣，以内容引诱，利用钓鱼等方式进行渗透，扩散勒索软件、木马、远程控制后门等。考虑到目前的情况，从技术上判断，不存在恶意网络代码传播的迹象。

[威胁摘要]

近期相关案例技术特征分布

图疫情防控期间不同类型安全事件映射到ATTCK

【防范措施】

疫情防控期间给一线检疫机构、安全机构的四点便捷建议

1.【仅限民航】工作时间内，请注意近期不要将工作电脑用于工作以外的用途。避免浏览社交媒体，尤其是当它是您的主要沟通来源时。

2.【不懂请勿阅读】请勿打开来源不明的内容。包括链接地址、文件、照片、电子邮件中的附件、短信中的短链接等。

3.【每日备份】及时备份您的重要文件。您可以考虑每天备份或移交时备份。备份对于防止勒索软件非常有效，勒索软件很可能在不久的将来造成直接损失。

4.【向专家寻求帮助】向IT专家或网络安全专家寻求帮助

针对相关一线IT支撑人员的其他基础技术建议还包括针对个人用户、政府和企业用户的防护建议。有关更多详细信息，请参阅文章的第二部分。

【其他概况】

利用社交热点是社会工程攻击的常见手段，公共卫生事件也经常被利用。历史上，通过人气传播恶意软件的事件屡见不鲜，例如，2014年，有犯罪组织利用埃博拉病信息进行“”，针对关注埃博拉病的用户发起钓鱼邮件攻击。2015年，网络攻击者利用中东传播病信息，韩国出现综合症并发起网络攻击。这些事件往往利用用户对疫情的焦虑情绪盲目点击各种信息、疫情防控应对中网络安全防护功能难以及时有效跟进、SOHO缺乏足够的安全保障等因素。使用点。厨房。

未来，这些威胁事件和恶意软件将会不断增加。本报告公开了相关恶意软件特征和预防示例功能。安天应急团队正在全天候工作，通过改善网络保护和提供网络空间安全来帮助用户战胜COVID-19大流行。

1利用COVID-19大流行对社会传播样本进行分析

安天CERT检测到多起利用新冠肺炎疫情相关热词传播恶意软件的事件，攻击者利用新冠肺炎疫情相关信息将恶意软件文件重命名为“冠状病”、“冠状病”，伪装成“建筑物列表”。“菲律宾Exe”称“全国5人因新型冠状病肺炎死亡，小心！”“exe”等热门帖子不断涌入，鼓励用户涌入该网站。下面我们通过一些案例进行分析和说明。

勒索软件事件

安天CERT发现了两起利用与COVID-19大流行相关信息的勒索软件事件Dharma/Crysis勒索软件系列和CXK_NMSL勒索软件。Dharma/Crysis勒索软件家族于2016年开始利用社交热点获取信息和电子邮件联系信息进行传播，版本和变种不断重复出现。在本次事件中，Dharma/Crysis勒索软件家族变种使用了与COVID-19大流行相关的信息。它通过利用钓鱼邮件信息进行RDP暴力破解等方式进行传播，并使用“coronavirusqqcom”作为联系邮箱。CXK_NMSL勒索软件于2019年7月首次发现，现已更新至v33版本。该程序是欺骗性勒索软件。该变种利用“来自中国武汉的印度旅客信息xlsxexe”文件进行传播，并使用相应的解码工具对其进行解密。

111Dharma/Crysis勒索病利用疫情信息进行传播。

Dharma/Crysis勒索软件于2016年首次发现，至今仍持续活跃，其传播方式主要有三种1.通过包含恶意文件的垃圾邮件进行传播，2.安装程序和可正常下载的程序攻击软件为了传播勒索软件，3对远程桌面协议凭据发起有针对性的攻击以进行传播。

Dharma/Crysis勒索软件样本标签

恶意代号

木马/Win32Occamy

原始文件名

示例执行文件

MD5

055d1462f66a350d9886542d4d79bc2b

文件大小

101MB1,062,912字节

文件格式

BinExecute/MicrosoftEXE[:X86]

时间戳

2020-02-1307:09:33

VT测试结果

45/71

图1-1加密文件后缀及勒索信息文本内容

图1-2勒索信内容

攻击者以与疫情相关的信息为传播内容，在勒索信中，攻击者使用“coronavirusqqcom”作为联系邮箱，“coronavirus”中文译为“冠状病”。加密文件使用“ncov”作为联系电子邮件。后缀。勒索软件在执行后会删除文件的卷影副本，以防止受害者从备份中恢复文件。它使用强大的“AES+RSA”加密算法来加密存储在您计算机上的文件。加密完成后，勒索软件会创建勒索字条和勒索字条，要求受害者联系电子邮件并支付高额赎金才能恢复加密文件。加密后，勒索软件会影响用户的关键业务运营，如果攻击者手中没有私钥，则无法解密。

112CXK_NMSL勒索软件利用传染病信息进行传播。

CXK_NMSL勒索软件于2019年7月首次发现，经行为分析，确定为欺骗性勒索软件，该勒索软件以包含新型冠状病疫情信息的文件形式进行传播。解码工具.

CXK_NMSL勒索软件样本标签

恶意代号

木马/RansomFilecoder

原始文件名

从中国武汉到印度的旅客信息xlsxexe

MD5

7f1f36b06f7839bd791da65bd5db59b3

处理器架构

Intel386或更高版本及兼容设备

文件大小

572MB5,994,237字节

文件格式

BinExecute/MicrosoftEXE[:X86]

时间戳

1972年12月25日13:33:23

电子签名

不存在

包装类型

阿斯帕克

编译语言

微软视觉C++

VT首次上传时间

2020-02-0906:05:49

VT测试结果

51/71

解压该样本后，您将看到“2020110-2020123中国武汉至印度的旅客信息xlsxexe”，其中包含“中国武汉至印度的旅客信息”字样。它利用疫情期间的人流来吸引注意力，并导致Windows系统默认隐藏已知的文件扩展名。该函数伪装成电子表格文件进行分发。双击该程序时，会出现以下提示框。

图1-3提示框内容

程序运行时，几乎所有类型的文件都会被加密，并在原始文件名上添加后缀“cxk_nmsl”。

图1-4加密文件后缀

该程序是一个恶搞勒索软件，使用相应的解码工具即可解密。

远程控制后门事件

安天CERT检测到多个利用传染病流行进行传播的远程控制木马。远程控制木马通常可以实施高风险操作，例如设备文件管理、键盘记录、远程桌面控制、系统管理、视频观看、语音监控以及从受控系统下载其他恶意代码。

121Farfli遥控事件

该程序使用伪装成“菲律宾新冠病ListExe”的诱饵文件名进行传播，受影响用户的计算机完全被攻击者控制。该远程控制木马是Farfli远程控制木马家族的变种。Farfli家族木马最近一次出现是在2007-2008年左右，作者以某种方式将源代码开源到了互联网上，结果各个攻击团体根据源代码想出了很多变种，Farfli木马家族已经达到了“泛滥”和“灾难”的境地。安天在2018年对该恶意软件家族进行了详细的威胁描述和全面的态势分析。

标签示例

恶意代号

后门Win32Farfliaudj

原始文件名

菲律宾各建筑物的冠状病列表exe

MD5

87ad582f478099a6d98bf4b2527d0175

处理器架构

Intel386或更高版本及兼容设备

文件大小

19600KB200704字节

文件格式