注意!新型挖矿蠕虫病毒Burimi来袭 攻击邮箱超3300万
“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”这是新型蠕虫病毒Burimi邮件勒索时撂下的“狠话”。普通网友如果收到这样的邮件,打算支付赎金还是拨打110?其实,腾讯电脑管家完全可以一招解除欺诈勒索!
近日,腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,不法黑客通过VNC爆破服务器弱口令,得手后下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件,勒索内容正如前面所提,采用挖矿+勒索的“双保险”方式,来实现非法收益最大化。
由于主模块编写者为“Burimi”,且该病毒具有内网传播能力,安全技术专家将其命名为Burimi挖矿蠕虫。腾讯安全技术专家提醒广大企业用户务必提高安全意识,建议尽快修改VNC远程管理工具管理员密码,同时减少使用弱口令配置远程管理工具,推荐企业用户部署腾讯御点终端安全管理系统,避免给企业造成难以挽回的 经济 损失。目前,腾讯御点终端安全管理系统和腾讯电脑管家已全面拦截并查杀该病毒。
(图:腾讯御点终端安全管理系统)
作为一款优秀的远程控制管理工具,VNC主要应用于RFB协议进行屏幕画面分享及远程操作,具备高效实用的远程控制能力。但如果使用者为图方便仅设置了简单密码,就会给攻击者提供了可乘之机。
据腾讯安全技术专家介绍,该病毒首先尝试利用内容密码列表爆破VNC服务器,一旦得手后会在目标VNC服务器下载挖矿木马程序,若被攻击的电脑没有高价值的普通电脑,则会植入门罗币挖矿木马,沦为其矿工电脑。经分析,目前Burimi病毒已支持BTC、XMR等数字货币,进一步展示其超强的敛财能力。
(图:病毒作者接收BTC钱包地址)
此外,该病毒还会根据已泄露的用户密码来“适配”邮箱帐号密码。一旦验证成功,则会向被感染用户邮箱发送欺诈勒索邮件。截至目前,病毒作者掌握的邮箱帐户数量已超3300万,甚至包括Yahoo、Gmail、AOL、MSN、hotmail等知名邮箱服务均受不同程度影响。
值得一提的是,在腾讯安全官网发布详细技术分析的第二天,该病毒用于提供病毒下载和下发勒索邮件群发任务的两台服务器均已关闭。这意味着此次传播的病毒都已失去攻击能力,若想后续持续作恶,攻击者必须更新服务器,升级所有已传播的病毒版本至最新版,才能继续进行勒索邮件发送任务。
(图:腾讯安图高级威胁追溯系统溯源Burimi病毒家族图谱)
伴随着 互联网 技术及数字货币的高速发展,攻击技术不断更新升级,挖矿与勒索病毒一体化、蠕虫化攻击趋势愈发明显,由此导致的互联网安全形势也更为严峻。腾讯安全反病毒实验室负责人马劲松提醒广大企业网管务必高度重视安全防范工作,建议使用安全的密码策略和高强度密码,防止类似爆破攻击再次发生;关闭不必要的网络文件共享和U盘自动播放等功能,将中毒风险降至最低;同时推荐全网安装腾讯御点终端安全管理系统,终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
此外,对于已收到勒索邮件的用户,马劲松提醒无须恐慌,建议尽快修改个人关键服务密码,并启用密码的双重验证机制,可大幅降低帐号遭入侵的风险。