勒索病毒检测报告分析

 绿盟科技安全团队捕获勒索病毒样本（Locky），经过分析，此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒，会自动加密电脑文件。除支付赎金外，目前尚无解密办法。鉴于勒索病毒造成的严重后果，绿盟科技发出此紧急公告，提醒用户注意防范，避免感染。

防范方法

1.对于个人客户：

1）升级防病毒软件到最新病毒库。
2）定期异地备份重要文件。
3）针对不明邮件中的附件，切勿随意打开。
4）在windows中开启显示扩展名设置，针对可执行(.EXE、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件，切勿双击打开，针对office中的宏提示，不要进行点击运行。
5）在高权限的cmd里执行，将以下后缀的文件默认打开程序变为记事本：

      1 2 3 4 5 6 7 ftype JSFile=C:\Windows\System32\Notepad.exe %1 ftype JSEFile=C:\Windows\System32\Notepad.exe %1 ftype VBSFile=C:\Windows\System32\Notepad.exe %1 ftype VBEFile=C:\Windows\System32\Notepad.exe %1 ftype WSFFile=C:\Windows\System32\Notepad.exe %1 ftype WSHFile=C:\Windows\System32\Notepad.exe %1  

2.对于企业客户

1）升级企业防病毒到最新病毒库。
2）定期异地备份文件数据。
3）提醒员工不要打开来历不明的邮件。
4）部署绿盟高级威胁分析系统TAC。
5）升级邮件过滤系统。
6）在高权限的cmd里执行，将以下后缀的文件默认打开程序变为记事本：

      1 2 3 4 5 6 7 ftype JSFile=C:\Windows\System32\Notepad.exe %1 ftype JSEFile=C:\Windows\System32\Notepad.exe %1 ftype VBSFile=C:\Windows\System32\Notepad.exe %1 ftype VBEFile=C:\Windows\System32\Notepad.exe %1 ftype WSFFile=C:\Windows\System32\Notepad.exe %1 ftype WSHFile=C:\Windows\System32\Notepad.exe %1   病毒分析

勒索病毒以邮件附件方式传播。附件是一个zip压缩包，包含执行脚本，以js文件格式结尾。

js文件

点击运行后，会下载勒索软件，感染运行后，即对本地文件进行加密。

勒索软件的业务逻辑

 

病毒感染过程：

1.勒索软件通常以压缩包附件形式隐藏在邮件中，通过各种形式引诱用户打开运行。
2.运行后，会从网络上下载真实的勒索软件样本（这里下载是PE文件，文件名随机，下载地址也在不断更新）。
3.运行后，会从网络上下载公钥内容写入到注册表中。
4.用公钥对关键文件进行加密，更改桌面背景，并弹出勒索信息提示框，要求付费解密。
5.最后会自行删除勒索软件样本，以躲避查杀和分析。

绿盟检测报告

绿盟TAC沙箱产品的检测结果截图 详细分析和解决方案：

针对勒索软件攻击，3月22日晚上绿盟科技官网已经发布IDS/IPS（567、568、569）和NF（600、601）的规则包，请自行下载。 绿盟科技安全团队后续会发布详细的分析报告、产品升级及解决方案，请广大用户随时关注。