• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:619

●重點摘要： 1.HKCERT表示，新的勒索軟體「Jaff」正透過大量垃圾郵件方式散播，垃圾郵件主題有固定格式，由一個單字及一組隨機數字組成，中間隔以「底缐」，例如： Copy_12345。目前皆露出的的垃圾郵件主題單字包括：「Copy」、「Document」 、「Scan」、「File」、「PDF」及「Scanned Image」等。 2.垃圾郵件中有一個 PDF 附件。要求用戶開啟了PDF附件後，再按指示開啟Word檔案；開啟後，用戶將被要求啟動「允許編輯」功能，此時巨集功能將會執行並下載惡意軟體。「Jaff」勒索軟體感染電腦後，將加密電腦上的檔案，及要求用戶繳付兩個比特幣（相等於台幣 108688元）的贖金。 3.資安公司Cisco Talos表示，「Jaff」在首波攻擊活動中，相關的電子郵件的正文沒有任何內容，僅帶有名為「nm.pdf」的附件，反映出攻擊者在創造惡意郵件時並未花費很大的心思。由於在用戶打開 Word檔案之前，都不會發生任何惡意行為，故在一般沙箱環境中，可能不會觸發感染行為而判定此檔為正常檔案。 TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 : 1.定期備份並遵循3-2-1規則來備份檔案：建立三份副本，使用兩種不同媒體，一份副本要存放在不同的地方，此外至少有一個系統備份是處於實體隔離的網路環境。 2.刪除收到的可疑電子郵件，尤其是包含連結或附件的。 3.確保更新電腦上的防毒軟體。 4.保持更新作業系統及其他軟體。 5.部份微軟Office檔案會要求用戶啟動巨集以觀看其內容，對此類電子郵件附件務必提高警覺。 6.一旦受到感染，馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。 7.不要支付贖金。 如有任何相關問題可以通報TWCERT/CC 免付費服務電話 0800-885-066 資安事件通報電話 03-4115387 資安事件通報信箱 twcert@cert.org.tw ●參考連結： [1]https://www.hkcert.org/my_url/zh/blog/17051701 [2]http://blog.talosintelligence.com/2017/05/jaff-ransomware.html

參考連結：

https://www.hkcert.org/my_url/zh/blog/17051701
http://blog.talosintelligence.com/2017/05/jaff-ransomware.html