一、病毒变种的出现及危害

近期，一种名为 “银狐” 的木马病毒最新变种现身微信群。攻击者构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。用户点击钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转。若用户使用手机终端访问，则会提示使用电脑终端进行访问；用户使用电脑终端访问链接后会下载文件名为 “金税四期 (电脑版)-uninstall.msi” 的安装包文件或 “金税五期 (电脑版)-uninstall.zip” 的压缩包文件，而这些实际为 “银狐” 木马病毒家族的最新变种程序。

如果用户运行相关程序文件，将被攻击者实施远程控制、窃密、网络诈骗等恶意活动，并充当进一步攻击的 “跳板”。钓鱼信息可能通过微信群、QQ 群等社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题涉及财税或金融管理等公共管理部门发布的最新政策和工作通知等，并附所谓的对接相关工作所需专用程序的下载链接。犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如 “金税四期 (电脑版)”“金税五期 (电脑版)” 等，并以此为诱饵欺骗企业中的财务管理人员或个体经营者。由于目前该木马病毒程序的变种大多只针对安装 Windows 操作系统的传统 PC 环境，犯罪分子也会在文件名中设置 “电脑版”“PC 版” 等关键词以诱导受害用户在相应环境下安装。

二、病毒的传播特征

1. 钓鱼信息特征

钓鱼信息通常为犯罪分子伪造的官方通知，通过微信群、QQ 群等社交媒体或电子邮件发送。其主题涉及财税或金融管理等部门的最新政策和工作通知，并附下载链接。例如，犯罪分子会以财务、税务等热门话题制作钓鱼网页，伪装成官方通知，诱导用户点击下载链接。这些信息看似权威，实则暗藏玄机，一旦用户点击，就可能陷入病毒陷阱。

2. 文件特征

病毒程序文件名与财税、金融管理部门相关工作关联度高。犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如 “金税四期 (电脑版)”“金税五期 (电脑版)” 等。文件格式以 MSI 安装包和 ZIP、RAR 压缩包为主。

目前已知的该木马病毒常用文件格式以 MSI 安装包格式和 ZIP、RAR 等压缩包格式为主，这些格式在日常办公中极为常见，降低了用户的警惕性。此外，该病毒还具有特定的文件 HASH 值，如
cf8088b59ee684cbd7d43edcc42b2eec，
f3cad147e35f236772b5e10f4292ba6e。木马病毒被安装后，会在操作系统中注册名为 “UserDataSvc_[字母与数字随机组合]” 的系统服务，实现开机自启动和持久驻留。同时，病毒通过特定的回联地址（如 154...95）与命令控制服务器（C2）通信，域名为：8848.*********.zip。其中与 C2 地址的通信内容中，会包含受害主机的操作系统信息、用户名 CPU 信息、内存信息以及内网 IP 地址等数据。

三、腾讯平台病毒变种的传播情况

1.Mirai 蠕虫病毒变种借 ThinkPHP 高危漏洞传播

近期，腾讯安全御见威胁情报中心监测到某教育科技机构服务器遭到 ThinkPHP V5 * 远程代码执行漏洞攻击。Mirai 蠕虫病毒变种主要参考 Mirai 和 Gafgyt 源代码，分别针对 PC 服务器和物联网等智能设备发起攻击。中毒后的系统会成为僵尸网络的一部分，受不法黑客控制向目标计算机发起 DDoS 攻击以获取经济报酬。

ThinkPHP 官方在 2018 年 12 月 9 日发布安全更新，公布了远程命令执行的高危漏洞（CNVD-2018-24942），该漏洞影响 ThinkPHP 5.0.23 以下版本，此次中毒的科技教育机构网站服务器采用的 ThinkPHP 5.1.30 版本属于受影响范围。全球使用 ThinkPHP 框架的服务器规模共计有 4.3 万台，中国、美国和加拿大位居前三。

Mirai 病毒最早出现在 2016 年，通过感染可访问网络的消费级电子设备组建僵尸网络进行大规模网络攻击。虽然 Mirai 病毒作者已落网，但源代码开源后被一些恶意软件采用，危害仍在延续扩散。此次发现的 Mirai 变种将最新 ThinkPHP 高危漏洞、多种路由器漏洞、upnp 设备漏洞进行组合攻击，感染能力再次增强。

2. 永恒之蓝出现新变种，运行门罗币挖矿木马

“永恒之蓝” 病毒再次出现新变种，腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用 Python 打包 EXE 可执行文件进行攻击。被本次变种攻击失陷后的系统会下载 if.bin、下载运行由随机字符串命名的 EXE 攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量 CPU 资源挖矿。

3.Satan 勒索病毒变种来袭

Satan（撒旦）勒索病毒进入 2019 年之后持续更新迭代病毒，不断出现病毒变种。近日，腾讯安全御见威胁情报中心监测发现 Satan 勒索病毒变种样本。该病毒变种主要针对 Windows、Linux 系统用户进行无差别攻击，在中招电脑中植入勒索病毒勒索比特币和植入挖矿木马挖矿门罗币。

病毒成功入侵网络系统后，会同时植入勒索病毒和挖矿病毒，形成一体化、蠕虫化攻击趋势。病毒作者在中招 Windows 电脑植入攻击模块，利用永恒之蓝漏洞对局域网 Windows 电脑进行攻击，同时还利用 JBoss、Tomcat、Weblogic、Apache Struts2 多个组件漏洞以及 Tomcat 弱口令爆破对服务器进行攻击。针对 Linux 系统还会利用 SSH 弱口令进行爆破攻击。

4. 最新 BuleHero 挖矿蠕虫攻击值大增

腾讯安全御见威胁情报中心再次监测到一款全新变种的 BuleHero 挖矿蠕虫。这一 BuleHero 挖矿蠕虫 “新成员” 新增了 4899 端口（即远程桌面管理工具 Remote Administrator 默认使用的端口）爆破攻击和 “永恒浪漫” 及 “永恒冠军” 等 NSA 新武器。其内网横向感染传播能力更为强大。

该变种病毒通过 Remote Administrator 默认使用的端口爆破即可获得对目标电脑的完全控制权，并通过门罗币挖矿程序的释放植入，达到占用目标服务器资源进行挖矿的目的。同时，其还会向目标电脑释放 Gh0st 修改版远控木马，远程控制手段更为高超。自 2018 年 8 月首次监测发现挖矿蠕虫病毒 BuleHero 以来，腾讯安全御见威胁情报中心已是第四次检测到这一挖矿蠕虫的全新变种。

四、腾讯平台的应对措施

1. 企业用户应对措施

为企业用户提供以下应对勒索病毒的建议：

• 关闭不必要的服务器端口：企业用户应尽量关闭不必要的端口，如 445、135、139 等不必要开启的端口，对 3389 端口则可以进行白名单配置，只允许白名单内的 IP 连接登录。禁止接入层交换机 PC 网段之间 135、139、445 三个端口访问。

• 使用高强度密码：采用高强度的密码，并且强制要求每个服务器使用不同密码管理。

• 下载并更新系统补丁：企业用户应及时下载安装系统补丁，对相关重要文件采用离线备份（即使用 U 盘等方式）等方式进行备份。部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失。

• 定期加固服务器：企业用户可部署安装腾讯御点终端安全管理系统及腾讯御界高级威胁检测系统，可及时检测针对企业内网的爆破攻击事件，全方位、立体化保障企业用户的网络安全，阻止不法黑客入侵。建议采用腾讯高级威胁检测系统（NTA）监测内网风险。同时，企业用户还可通过订阅腾讯安全威胁情报产品，让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

• 部署安全软件和威胁检测系统：建议企业用户全网安装部署终端安全管理软件，推荐使用腾讯零信任无边界访问控制系统（iOA）。

2. 个人用户应对措施

个人用户可采取以下措施应对勒索病毒：

• 实时开启腾讯电脑管家等主流安全软件加强防护：个人用户在日常使用电脑时，应安装并实时 开启腾讯电脑管家，及时给电脑打补丁，以便修复系统及第三方软件中存在的安全漏洞。
• 启用文档守护者功能备份重要文档：个人用户可使用腾讯电脑管家文档守护者功能来备份重要文档，防患于未然。个人用户还可自行设置可找回文档的期限，合理存放备份文档。
• 遵守 “三不三要” 原则：不上钩，标题吸引人的未知邮件不要点开；不打开，不随便打开电子邮件附件；不点击，不随意点击电子邮件中附带网址；要备份，重要资料要备份；要确认，开启电子邮件前确认发件人可信；要更新，系统补丁 / 安全软件病毒库保持实时更新。