预警!天融信捕获Criakl勒索病毒新变种
作者: 时间:2018-12-25 点击数:
病毒概述
2018年12月24日,天融信安全专家团队捕获Criakl勒索病毒变种Ransom.Criakl。攻击者利用钓鱼邮件传播一个zip后缀的附件,该附件解压后是一个包含宏病毒的word文件,一旦启用word宏的用户打开此文件,在文件关闭时将自动下载并运行勒索病毒,对电脑所有文件进行加密,并要求通过邮件获取解密密钥,还原加密文件。
该病毒的宏内容随机变化,无固定特征可匹配,天融信EDR采用行为分析和虚拟沙盒技术,可精确检测并查杀该勒索病毒,有效防止此勒索事件发生。
病毒传播分析
天融信安全团队对该病毒传播行为进行了剖析,具体如下所示:
1. 攻击者通过钓鱼邮件传播病毒下载器,诱导用户下载打开附件。
2. 下载恶意程序包到temp目录。
3. 获取系统路径。
4. 获取系统temp路径。
5. 运行下载的病毒。
6. 病毒下载抓包截图。
解决方案
1. 已安装天融信EDR用户,将病毒库升级至2018/12/24及以上版本即可精准识别并查杀该勒索病毒。
2. 未安装天融信EDR用户,可试用企业版或下载单机版对该勒索病毒进行检测与查杀。
天融信EDR企业版试用:可通过天融信各分支机构获取(查询网址:http://www.topsec.com.cn/jigou-47.html)
天融信EDR单机版下载地址:http://edr.topsec.com.cn
温馨提示
1. 不要点击来源不明的邮件附件。
2. 不要启用office宏功能。
3. 定期备份电脑中的重要文件资料到移动硬盘或U盘上。