近日
國家計算機病毒應(yīng)急處理中心
和計算機病毒防治技術(shù)國家工程實驗室
依托國家計算機病毒協(xié)同分析平臺監(jiān)測
發(fā)現(xiàn)木馬病毒最新變種
“銀狐”
什么是?“銀狐”木馬病毒??
01
“銀狐”,又名“游蛇”和“谷墮大盜”,是一種專門針對政府、高校及企事業(yè)單位從業(yè)人員進行攻擊的木馬病毒變種,竊取用戶的敏感數(shù)據(jù)和財產(chǎn)信息,具有高度隱蔽性。該病毒通過多種渠道進行傳播,包括微信、QQ、郵件以及偽造工具網(wǎng)站等。
廣西貴港某公司的何會計遇到了一件匪夷所思的蹊蹺事。她剛用電腦登錄個人微信賬號,就突然發(fā)現(xiàn)自己的電腦出現(xiàn)異常情況:電腦屏幕上的鼠標圖標在自行移動,仿佛有一只無形的手在遠程操控著自己的電腦,并在逐個向通訊錄的人員和群組發(fā)送廣告信息和不明鏈接。
她警覺地意識到,自己的電腦已經(jīng)被入侵了。為安全起見,她立即向公安機關(guān)報警。
經(jīng)查,公安網(wǎng)安部門發(fā)現(xiàn)其所使用的電腦中了一種名為“銀狐”的木馬病毒。
“銀狐”的攻擊目標集中在國內(nèi)財務(wù)和會計領(lǐng)域的專業(yè)人員,這種木馬病毒常常偽裝成“發(fā)票”“財稅”“人員名單”等文件,利用網(wǎng)絡(luò)媒介進行傳播,不僅隱蔽性強,而且巧妙地規(guī)避了常規(guī)的安全防護措施。一旦用戶點擊了相關(guān)程序文件,便會激活隱藏惡意代碼,對計算機實施遠程控制,并將該計算機充當進一步攻擊的“跳板”,控制更多的計算機,伺機進行竊密、監(jiān)視、控制等惡意活動。
防護措施(預(yù)防為先)
02
手機端(Android/iOS)
只從官方商店下載應(yīng)用
安卓 :Google Play、華為應(yīng)用市場、小米應(yīng)用商店等官方渠道 。
關(guān)閉“未知來源應(yīng)用”安裝權(quán)限:Android 設(shè)置中關(guān)閉 允許安裝未知來源應(yīng)用(不同品牌路徑略有差異)。警惕“無障礙服務(wù)”權(quán)限:非輸入法類App要求開啟“無障礙服務(wù)”時一律拒絕 (木馬常借此監(jiān)控屏幕)。定期更新系統(tǒng)與App :修復(fù)安全漏洞。
蘋果:僅限 App Store ,切勿安裝企業(yè)證書簽名App。
電腦端(Windows/macOS)
安裝正規(guī)殺毒軟件:保持實時防護開啟(推薦:火絨)。
禁用陌生人發(fā)送的宏功能:Office 文檔彈出啟用宏警告時,除非100%可信,否則一律禁用 。
謹慎解壓壓縮包:對來源不明的 .zip、.rar 文件,先殺毒再解壓。
勿使用“破解軟件”:所有聲稱繞過付費的工具(如 KMS激活工具)均為高風險。
開啟防火墻:阻止未經(jīng)授權(quán)訪問。
感染后的應(yīng)急處理(已中招必做!)
03
立即操作斷網(wǎng):關(guān)閉WiFi/移動數(shù)據(jù)(物理拔網(wǎng)線更佳),阻止木馬外傳數(shù)據(jù)。
凍結(jié)微信:用其他設(shè)備登錄微信安全中心 → 凍結(jié)賬號。
修改密碼:在干凈設(shè)備上修改微信密碼(勿用中招手機/電腦操作! )。
通知好友:群發(fā)消息提醒“賬號可能被盜,勿信任何借錢、轉(zhuǎn)賬信息”。
徹底清除木馬
手機端:
安卓:進入 安全模式 → 卸載可疑App → 恢復(fù)出廠設(shè)置(備份重要數(shù)據(jù)后)。
iOS:若非越獄設(shè)備,木馬難存活;重啟后刪除可疑描述文件/應(yīng)用。
電腦端:運行殺毒軟件全盤掃描(更新至最新病毒庫)。
使用專項工具查殺:火絨專殺工具(官方下載 )360系統(tǒng)急救箱(官方下載 )
手動檢查 (高級用戶):任務(wù)管理器 → 結(jié)束可疑進程(占用高、名稱異常)。
注冊表清理:Win+R → 輸入 regedit → 搜索 SilverFox、WeChatStealer 等關(guān)鍵詞刪除。
檢查啟動項:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
損失處理
微信支付:凍結(jié)支付功能 → 聯(lián)系微信客服(95017)申訴資金被盜。
報警:保存木馬文件、轉(zhuǎn)賬記錄等證據(jù) → 前往派出所報案。
長期安全建議
04
開啟微信雙重驗證:微信→我→設(shè)置→賬號與安全→開啟“聲音鎖”+“登錄設(shè)備管理”。如辦公使用微信,可以使用微信手機端鎖定功能。
定期檢查授權(quán)應(yīng)用:微信→設(shè)置→隱私→授權(quán)管理→撤銷可疑第三方授權(quán)。
警惕“屏幕共享”詐騙:任何要求共享屏幕的“客服”均是騙子。
木馬病毒詐騙解析
1植入木馬、目標投放
騙子利用偽裝軟件,將包裝好的內(nèi)含木馬病毒程序,精準投放至目標群體,遠程操控電腦中登錄的聊天軟件,實現(xiàn)對受害人設(shè)備的遠程控制。
2遠控電腦、發(fā)送鏈接
通過遠程控制被害人的軟件賬號,把被害人的賬號作為“跳板”,群發(fā)送虛假鏈接,群發(fā)虛假“工資福利”“國家補貼”二維碼,迅速擴大感染范圍,實現(xiàn)高效傳播。
3進入網(wǎng)頁、填寫信息
誘導(dǎo)被害人掃描二維碼進入“中國財政部”“中國社保局”等虛假網(wǎng)頁,按照網(wǎng)頁提示輸入個人信息及銀行卡號、手機驗證碼。
4異地消費、實施詐騙
在被害人等待網(wǎng)頁界面加載過程中,立即進行境外消費,形成快速變現(xiàn)的詐騙閉環(huán),難以追蹤。
警方提醒
1、不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機關(guān)和公共管理機構(gòu)發(fā)布的通知及相關(guān)工作文件和官方程序(或相應(yīng)下載鏈接),應(yīng)通過官方渠道進行核實。
2、帶密碼的加密壓縮包并不代表內(nèi)容安全,針對類似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點,用戶可將解壓后的可疑文件先行上傳至國家計算機病毒協(xié)同分析平臺(https://virus.cverc.org.cn)進行安全性檢測,并保持防病毒軟件實時監(jiān)控功能開啟,將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。
3、一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉,應(yīng)立即主動切斷網(wǎng)絡(luò)連接,對重要數(shù)據(jù)進行遷移和備份,并對相關(guān)設(shè)備進行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測和安全加固后方可繼續(xù)使用。
4、一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象,應(yīng)向親友和所在單位同事告知相關(guān)情況,并通過相對安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼,對自己常用的計算機和移動通信設(shè)備進行殺毒和安全檢查,如反復(fù)出現(xiàn)賬號被盜情況,應(yīng)在備份重要數(shù)據(jù)的前提下,考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。
版權(quán)聲明:【平安泰州所使用的文章、圖片及音樂屬于相關(guān)權(quán)利人所有,因客觀原因,如存在不當使用的情況,敬請相關(guān)權(quán)利人隨時與我們聯(lián)系及時處理。】
來源:平安泰州、網(wǎng)安支隊、刑偵支隊、中央政法委長安劍、公安部網(wǎng)安局、平安府谷、珠海公安