新型勒索病毒利用IE瀏覽器漏洞入侵

年末將至，惡意黑客團伙開始“沖業績”，勒索事件進入高發期。深信服安服應急響應中心在近一周時間內，已連續接到超過20起勒索病毒應急響應處置需求，其中70%以上是政企用戶。

在7天超20起應急響應事件中，深信服安全專家捕獲頻繁活躍的Magniber勒索病毒樣本。Magniber是一種利用IE瀏覽器漏洞的無文件勒索病毒，自2017年被發現，主要針對韓國及亞太地區的用戶開展攻擊，近期國內發現已有多家政企終端遭受其攻擊加密。

*關于Magniber勒索病毒，深信服千里目實驗室已做相關技術分析，詳情可戳：《【病毒通告】近期頻繁利用IE漏洞入侵的Magniber勒索病毒分析》

警惕！95%感染政企用戶終端系統“裸奔”

Magniber勒索病毒自今年3月以來一直利用CVE-2021-26411漏洞進行分發，直到9月16日，安全人員發現其改為利用CVE-2021-40444漏洞，這是9月14日微軟官方發布的漏洞規則（利用漏洞僅在Win10環境中更改，其他環境中仍使用 CVE-2021-26411）。

深信服云腦監測CVE-2021-40444漏洞近期活躍趨勢

深信服云腦監測CVE-2021-26411漏洞近期活躍趨勢

深信服在響應處置中發現，絕大多數政企用戶終端系統沒有部署安全防護，僅1家用戶安裝了相關終端安全產品但并沒有成功攔截。

其中，一家企業用戶的多臺終端被植入勒索病毒，文件被加密，加密文件的后綴隨機7-9位字母組合，根據勒索界面和加密后綴判斷該勒索病毒為Magniber勒索病毒，該病毒暫時沒有密鑰對加密的文件進行解密。

經深信服安全專家溯源分析，懷疑為攻擊者投遞釣魚郵件或網站被插入惡意病毒，通過誘導用戶點擊htm文件后，ActiveX控件會從遠程下載R8H.cab文件并加載，然后提取*.inf（實際上是DLL文件）的病毒文件，并以cpl文件執行，導致勒索事件發生。

如何未雨綢繆？您的業務需要一次“健康體檢”

通過數例Magniber勒索事件應急響應，深信服總結出當前遭遇勒索的政企單位存在問題：

（1）人員安全意識薄弱，輕易打開來歷不明的郵件、鏈接和網址附件等；

（2）沒有定期檢測系統漏洞并且及時進行補丁修復等安全風險排查及消減措施；

（3）沒有安裝專業的安全防護軟件并確保安全監控正常開啟并運行，及時對安全軟件進行更新。

面對來勢洶洶的勒索攻擊，企業缺失有效防范安全措施，無法及時發現并阻斷安全威脅，導致核心業務遭受巨大沖擊。科學“抗病毒”關鍵在于事前預防，深信服推出限時免費勒索風險排查，為您的業務來一次全面的“健康體檢”。

深信服勒索風險排查包含以下具體事項：

深信服安全專家依托于長沙安全運營中心為用戶提供“勒索預防與響應服務”，基于多年對勒索病毒家族的深度研究，圍繞勒索病毒的入侵全流程，從500+勒索病毒樣本進行逆向工程技術和大數據分析，總結得出180+行之有效的勒索預防Checklist，通過勒索預防Checklist 的檢查可以幫助用戶快速、全面地識別勒索病毒入侵風險，有效降低勒索病毒感染的概率。

想要全面防護？深信服為您提供“健康方案”

面對攻防能力不對等的風險與挑戰，企業在采取傳統預防措施的基礎上，還需要補齊控制措施的缺失，才能構建更加全面有效“免疫力”。深信服基于多年來為1000+各行業用戶提供有效的勒索病毒防護，在實踐中沉淀出系統性解決方案。

深信服全新升級的勒索病毒防護解決方案，以“安全設備+勒索預防與響應服務”為基礎，圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈，全面幫助用戶補齊在勒索預防、監測、處置能力方面的缺失，構建有效預防、持續監測、高效處置的勒索病毒防護體系。

專項檢測、專家定期全面排查，有效預防

基于專項的勒索病毒Checklist，安全專家定期開展勒索風險排查，確保勒索風險全面可視。安全設備內置勒索病毒對抗專項配置及加固，勒索病毒防御更有效。

7*24小時持續監測，微信告警推送全程保護

本地勒索病毒攻擊、感染、傳播等全攻擊鏈檢測機制，云端安全專家7*24小時勒索病毒監測預警體系，勒索威脅微信告警推送，全程保障用戶業務安全。

5分鐘快速響應，多設備聯動高效處置

安全專家在線5分鐘響應，多安全設備聯動快速隔離遏制勒索病毒。線上線下協助用戶精準溯源排查，徹底根除勒索病毒，高效處置全面降低用戶損失。

不清楚業務現存風險狀況？

不了解該從哪些維度進行排查？

想要全面有效的勒索病毒防護解決方案？