在7天超20起应急响应事件中，深信服安全专家捕获频繁活跃的Magniber勒索病毒样本。Magniber是一种利用IE浏览器漏洞的无文件勒索病毒，自2017年被发现，主要针对韩国及亚太地区的用户开展攻击，近期国内发现已有多家政企终端遭受其攻击加密。

　　*关于Magniber勒索病毒，深信服千里目实验室已做相关技术分析，详情：《【病毒通告】近期频繁利用IE漏洞入侵的Magniber勒索病毒分析》

　　Magniber勒索病毒自今年3月以来一直利用CVE-2021-26411漏洞进行分发，直到9月16日，安全人员发现其改为利用CVE-2021-40444漏洞，这是9月14日微软官方发布的漏洞规则（利用漏洞仅在Win10环境中更改，其他环境中仍使用 CVE-2021-26411）。

　　

　　深信服云脑监测CVE-2021-40444漏洞近期活跃趋势

　　深信服云脑监测CVE-2021-26411漏洞近期活跃趋势

　　深信服在响应处置中发现，绝大多数政企用户终端系统没有部署安全防护，仅1家用户安装了相关终端安全产品但并没有成功拦截。

　　其中，一家企业用户的多台终端被植入勒索病毒，文件被加密，加密文件的后缀随机7-9位字母组合，根据勒索界面和加密后缀判断该勒索病毒为Magniber勒索病毒，该病毒暂时没有密钥对加密的文件进行解密。

　　经深信服安全专家溯源分析，怀疑为攻击者投递钓鱼邮件或网站被插入恶意病毒，通过诱导用户点击htm文件后，ActiveX控件会从远程下载R8H.cab文件并加载，然后提取*.inf（实际上是DLL文件）的病毒文件，并以cpl文件执行，导致勒索事件发生。

　　通过数例Magniber勒索事件应急响应，深信服总结出当前遭遇勒索的政企单位存在问题：

　　（1）人员安全意识薄弱，轻易打开来历不明的邮件、链接和网址附件等；

　　（2）没有定期检测系统漏洞并且及时进行补丁修复等安全风险排查及消减措施；

　　（3）没有安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

　　面对来势汹汹的勒索攻击，企业缺失有效防范安全措施，无法及时发现并阻断安全威胁，导致核心业务遭受巨大冲击。科学“抗病毒”关键在于事前预防，深信服推出限时免费勒索风险排查，为您的业务来一次全面的“健康体检”。

　

　　深信服安全专家依托于长沙安全运营中心为用户提供“勒索预防与响应服务”，基于多年对勒索病毒家族的深度研究，围绕勒索病毒的入侵全流程，从500+勒索病毒样本进行逆向工程技术和大数据分析，总结得出180+行之有效的勒索预防Checklist，通过勒索预防Checklist 的检查可以帮助用户快速、全面地识别勒索病毒入侵风险，有效降低勒索病毒感染的概率。

　　面对攻防能力不对等的风险与挑战，企业在采取传统预防措施的基础上，还需要补齐控制措施的缺失，才能构建更加全面有效“免疫力”。深信服基于多年来为1000+各行业用户提供有效的勒索病毒防护，在实践中沉淀出系统性解决方案。

　　深信服全新升级的勒索病毒防护解决方案，以“安全设备+勒索预防与响应服务”为基础，围绕边界投毒+病毒感染+加密勒索+横向传播的完整勒索攻击链，全面帮助用户补齐在勒索预防、监测、处置能力方面的缺失，构建有效预防、持续监测、高效处置的勒索病毒防护体系。

　

　　基于专项的勒索病毒Checklist，安全专家定期开展勒索风险排查，确保勒索风险全面可视。安全设备内置勒索病毒对抗专项配置及加固，勒索病毒防御更有效。

　　本地勒索病毒攻击、感染、传播等全攻击链检测机制，云端安全专家7*24小时勒索病毒监测预警体系，勒索威胁微信告警推送，全程保障用户业务安全。

　　安全专家在线5分钟响应，多安全设备联动快速隔离遏制勒索病毒。线上线下协助用户精准溯源排查，彻底根除勒索病毒，高效处置全面降低用户损失。