我們發現台灣從今年 2 月開始受到 Emotet 的大量攻擊。Emotet 加密病毒信件的攻擊手法，是將帶有惡意巨集的 Office 檔案用 ZIP 加密壓縮後以 email 發動攻擊，並在 email 內文附上密碼，誘導收件者開啟。

系統在收到信件時因缺乏密碼而無法正確解開附檔，而在無法解開檔案的情況下是無法正確掃毒的，也因此並不容易由病毒機制準確判斷成功。目前某些防毒軟體會強制將部分加密碼的壓縮檔視為病毒，以致將檔案上傳至 Virustatol 掃描會發現有少數防毒機制可判斷為病毒。不過，並非所有加密碼的檔案都是病毒，若 MailCloud 逕自將所有加密碼的檔案都判斷成病毒，可能會造成許多正常的檔案被攔截、產生更大的副作用。

我們建議貴公司可使用 MG 的加密附檔功能攔截這類附檔，MailGates 攔截加密附檔設定步驟如下，請您參考：

1. 啟用加密附檔選項：

請您登入 MailGates 管理介面，

並進入「威脅管理 > 威脅政策 > 加密附檔」點選「啟用」，

並設定附檔大小範圍 (目前觀察最近惡意加密附檔大小為 30~90 KB之間)

2. 處理動作：

 您可選擇將信件留置在網域或個人的加密附檔隔離區。

留置網域加密附檔隔離區：

MG 會將信件留置在網域層的加密附檔隔離區，

目前網域層加密附檔隔離區無通知信功能，

建議管理者定期至「檢閱>>」觀看符合條件被隔離的所有信件。

若有誤判信件，請打勾，並按下「送信」。

留置個人加密附檔隔離區：

MG 會將符合的信件留置在個人的加密附檔隔離區，

個人隔離區有通知信功能，

當系統收到一封符合條件的信件並加以隔離後，

會立即發送通知信給用戶進行確認。

3. 例外動作：

當信件附檔不符合所設定之附檔大小時，

您可選擇為這類信件加上警語以提醒用戶。

例如當設定值小於等於 90KB 時要攔截在隔離區，

那麼當出現 91KB 以上的加密附檔時，

系統不會直接攔截信件，

您可選擇為這類信件加上「信件標題警語」或「信件內容警語」，

提醒用戶收到這類信件時需留意是否為可疑信件。