亚信安全：新冠疫情蔓延到虚拟世界

5月14日消息，亚信安全发布了《2020年第一季度网络安全威胁报告》。报告显示，新冠疫情已经成为不法分子普遍选择的网络攻击诱饵，新冠疫情蔓延到虚拟世界。

在第一季度，亚信安全频繁截获了利用“新型冠状病毒肺炎”疫情进行的网络攻击活动，攻击中使用的文件名通常包含“冠状病毒”、“武汉”、“疫情”等人们关注的热门词汇。其主要恶意行为包括远程控制、信息窃取、删除系统文件和数据，造成系统无法启动或者重要数据丢失。

伪装成新冠肺炎进展信息的垃圾邮件

新冠疫情爆发时期，有用户收到一封以“某疾控中心”为发信人的邮件，附件则是“本地新冠疫情感染者名单及行动轨迹”的文档。用户打开该附件，噩梦随之开启。这份夹带着病毒的恶意文件，在打开之后，内藏的勒索病毒 RobbinHood 感染了电脑系统，并关闭了杀毒软件，随后提醒你必须支付一定数额的比特币，以恢复被锁住的文件。

RobbinHood 勒索病毒攻击流程

亚信安全介绍， RobbinHood 勒索病毒借用易受攻击的驱动程序来删除安全软件。该驱动程序是主板厂商已经弃用的软件包的一部分，主程序 STEEL.EXE会将 ROBNR.EXE 文件释放到 Windows\Temp 目录中，然后利用合法的 gdrv.sys 驱动程序安装恶意的驱动程序 rbnl.sys，该恶意驱动程序主要用于在内核模式删除安全软件相关的进程或者文件，随后便可以任意运行勒索病毒。

报告显示，一季度亚信安全共拦截勒索病毒 23,045 次，勒索病毒虽然数量有所降低，但是攻击手段却持续创新，与安全厂商的技术对抗正在升级，这些动向都提醒企业与消费者必须更加关注网络威胁防御，并及时升级网络安全策略。

除了 RobbinHood 之外，本季度值得关注的新型勒索病毒还有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等，这些病毒已经进化并整合了终止程序等功能，以更有效地实施攻击行动。因此，对于勒索病毒的防范，亚信安全建议，要保持良好的网络安全习惯，采取3-2-1规则来备份文件，并部署对抗勒索病毒更有效的安全软件。