人事部问题汇总和分析（一封来自人事部的电邮）

年底历来是离职的高峰期，虽然企业采取多种手段挽留，但是HR对人才储备还是必不可少的。不过，作为HR的你可要擦亮眼睛，看到下面的画面是不是觉得眼熟？

（Petya的开机画面）

这就是早在去年三月，亚信安全网络监测实验室发现的一个俗称“Petya”恶意程序，感染电脑后重启时的开机画面。亚信安全将其命名为RANSOM_PETYA.A，它通过向企业发送一封看似要应征某个职位的电子邮件进行扩散。邮件中包含一个指向Dropbox云盘的链接，点击后会出现两个文档：一个是伪装成应聘简历的压缩包，另一个是冒充“求职者”的照片，可供收件人用来下载求职者简历。文档一旦被打开，病毒就会让系统出现蓝色宕机画面，并且在电脑重启时，出现的不是你熟悉的Windows开机画面，而是一个由$组成的闪烁的骷髅头红色画面。

无独有偶，最近亚信安全在一波波针对企业人事部门的恶意攻击中，又发现了新的勒索病毒：GoldenEye，并将其命名为RANSOM_GOLDENEYE.A。GoldenEye其实是Petya（RANSOM_PETYA）和Mischa（RANSOM_MISCHA）两个勒索病毒的合体。

（伪装成简历的PDF文档（左）与夹带宏病毒的Excel文档（右））

GoldenEye依然沿用发送“求职垃圾邮件”的形式进行传播，并引诱受害者点击其中包含的恶意附件。首个附件是一个PDF文档，它将自己伪装成一封正经的求职信让你放松戒备。而后还跟着一个包含了宏病毒的Excel文档，引诱你上钩。GoldenEye如同Petya和HDDCryptor一样，会复写系统盘的主引导记录（MBR）。

（GoldenEye启动屏幕的截图）

尽管GoldenEye将自己伪装成了开机磁盘检查的界面，但你还是可以一眼看清它的勒索本质。该界面中包含了一个让受害者如何支付和解密的“支持页面”的链接。

针对勒索软件防范，亚信安全建议用户采取以下措施

1.不要打开未知或未经证明的发件人的电子邮件。当打开邮件附件时，请注意查看附件扩展名；

2.不要点击电子邮件中的不明链接，用户访问之前可以先检查网站信誉；

3.注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少有三个备份文档，分别用两种不同媒体介质保存，其中一个备份文档存放于不同的磁盘空间；

4.请及时更新亚信安全发布的病毒码版本；

5.使用亚信安全深度威胁发现平台TDA & Deep Edge联动解决方案，当用户访问恶意网址时，可以有效阻止勒索软件下载，最大限度帮助用户防止勒索软件入侵；

6.使用亚信安全防毒墙网络版（OfficeScan 11 SP1），开启针对勒索软件（Ransomware）的行为阻止策略，如下图：

7.使用下列亚信安全产品，将有效拦截勒索邮件：

• 亚信安全邮件安全网关（IMSA/IMSS）

• 亚信安全深度威胁邮件网关（DDEI）

• 亚信安全防毒墙群件版（Scanmail） for Domino

• 亚信安全防毒墙群件版（Scanmail） for Microsoft Exchange

（产品配置建议，请参看：http://support.asiainfo-sec.com/TM-Product/Product/Other/勒索软件/防护建议/）

8.使用亚信安全云盘，将用户桌面指定的文档同步至企业存储服务器中，并备份若干历史版本。如果终端文档被加密，可通过SafeSync恢复历史版本的方式来实现加密文档的恢复。