绿盟科技安全团队捕获勒索病毒样本(Locky),经过分析,此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒,会自动加密电脑文件。除支付赎金外,目前尚无解密办法。鉴于勒索病毒造成的严重后果,绿盟科技发出此紧急公告,提醒用户注意防范,避免感染。
防范方法1.对于个人客户:
1)升级防病毒软件到最新病毒库。
2)定期异地备份重要文件。
3)针对不明邮件中的附件,切勿随意打开。
4)在windows中开启显示扩展名设置,针对可执行(.EXE、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件,切勿双击打开,针对office中的宏提示,不要进行点击运行。
5)在高权限的cmd里执行,将以下后缀的文件默认打开程序变为记事本:
2.对于企业客户
1)升级企业防病毒到最新病毒库。
2)定期异地备份文件数据。
3)提醒员工不要打开来历不明的邮件。
4)部署绿盟高级威胁分析系统TAC。
5)升级邮件过滤系统。
6)在高权限的cmd里执行,将以下后缀的文件默认打开程序变为记事本:
勒索病毒以邮件附件方式传播。附件是一个zip压缩包,包含执行脚本,以js文件格式结尾。
js文件
点击运行后,会下载勒索软件,感染运行后,即对本地文件进行加密。
勒索软件的业务逻辑
病毒感染过程:
1.勒索软件通常以压缩包附件形式隐藏在邮件中,通过各种形式引诱用户打开运行。
2.运行后,会从网络上下载真实的勒索软件样本(这里下载是PE文件,文件名随机,下载地址也在不断更新)。
3.运行后,会从网络上下载公钥内容写入到注册表中。
4.用公钥对关键文件进行加密,更改桌面背景,并弹出勒索信息提示框,要求付费解密。
5.最后会自行删除勒索软件样本,以躲避查杀和分析。
绿盟检测报告
针对勒索软件攻击,3月22日晚上绿盟科技官网已经发布IDS/IPS(567、568、569)和NF(600、601)的规则包,请自行下载。 绿盟科技安全团队后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。