CACTER邮件安全共建网络安全315：保护邮件系统，从处理emotet病毒邮件开始！

从去年12月至今，CAC邮件安全长期监测并接到包括关基单位、金融、高校行业的多家客户反馈的大量emotet病毒邮件，其中近1月病毒邮件形势如下。

快来加强保护吧！

根据态势而言，Emotet 已再次成为最流行的恶意软件，科研教育成为受攻击最严重的行业。

3月，CAC邮件安全大数据中心检测到不法分子通过各种主题的病毒邮件诱导用户打开恶意附件。

Emotet病毒邮件常见类型主题

1、冒充业务往来用户发送给供应商，正文中注明附件解密密码.

2、仿冒产品需求咨询，诱导点击附件

典型特征

综合而言，emotet病毒邮件包含以下特征

1、携带加密附件或office宏文档

2、正文中出现“Password”或“密码”等关键词，加密附件的密码出现在正文

3、出现一些历史邮件的转发信息

4、近期的emotet主要是附件用xlsm 以及附件为加密压缩包，压缩包内是xlsm。

二、Emotet病毒邮件的危害

使用正文中密码解压后为含有恶意宏的xls文档，运行后会在C:\programdata文件夹下生成两个脚本，yhjlswle.vbs和ughldskbhn.bat，脚本运行后会访问指定链接，下载第二阶段的远控程序GMtz6DxM.dll，通过运行GMtz6DxM.dll回连某个僵尸主机获取远控权限。

Emotet病毒邮件防护策略

1、收到此类邮件建议用其他社交方式与发信人取得联系，若确认为病毒邮件，则马上上报安全部门

2、此类加密压缩的文件，如果一定要打开，建议放到虚拟机的测试环境（断网）打开

3、为了能将病毒邮件与正常邮件行为有所区分，建议日常发送加密压缩附件时，应该以其他手段将密码通知收件人，而不是放在正文

4、若不小心点击了附件，建议马上切断中招PC的网络，并马上联系安全部门清理上网环境

5、个人PC安装杀毒软件，并保持更新。