風險等級: | 低度威脅 |
摘要: | 病毒通告: Magniber勒索病毒,偽裝 Windows 10 系統更新程式 |
解決辦法: | 若不慎已感染此病毒,建議處理方式如下: 1.確認所有軟體與作業系統安全性更新的來源與方式,避免執行不明來源的檔案。 2.請檢視並加強網路存取控制嚴謹程度,若可能建議以正向表列方式,僅允許用戶端存取可連接網站的類別,關閉其他非必要對外網路服務,例如影音串流網站等。 3.限縮高權限的管理者帳號(Domain Admins、Enterprise Admins、本機管理員等)的登入來源與登入方式,例如限制Domain Admins群組帳號僅允許安全的管理主機登入。 4.檢視重要伺服器或電腦上是否出現異常的工作排程、異常檔案。 5.在HTTP閘道阻擋副檔名為 .msi 與 .cpl 檔案的下載。 6.勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點)。 7.建議用戶維持病毒碼正常更新 |
細節描述: | Magniber的勒索病毒,偽裝成Windows 10的系統更新程式,將惡意程式包裝成Windows Installer MSI檔案,以降低受害者的戒心。
1.入侵正常網站之後,上傳惡意程式,或透過惡意廣告進行擴散。或是將惡意程式放置在非常規的網站中。 2.當用戶瀏覽影音串流網頁時,吸引受害者下載偽冒的Installer安裝程式的下載(通常會偽裝成Windows 10的更新檔案)或,是Windows控制台項目的檔案CPL(通常會偽裝成防毒軟體的更新檔案)。 3.透過執行MSIEXEC.exe進行上述MSI檔案的安裝,或是透過Control.exe執行控制台項目的CPL檔案。 |
參考資訊: | Trend Micro |