Loading
0

瑞星:敲诈病毒新变种 中毒后1054种文件全加密

近日,瑞星“云安全”系统截获一种新型敲诈病毒,该病毒加密文件高达1054种,文件统一加密为.encrypted格式,进而勒索赎金1比特币(约人民币4500元)。如果用户没有在规定时间内向黑客付款,被加密的文件将永远无法恢复。目前,瑞星杀毒软件、瑞星企业终端安全管理系统软件等个人及企业安全产品均可对该病毒进行查杀。

图:勒索提示信息

瑞星安全专家建议:

1、定期备份系统与重要文件,并离线存储独立设备;

2、使用专业的电子邮件与网络安全工具,可分析邮件附件、网页、文件是否包括恶意软件,带有沙箱功能;

3、使用专业的反病毒软件、防护系统,并及时更新;

4、不打开可疑邮件、可疑网站和可疑链接;

5、经常给操作系统、设备及第三方软件更新漏洞补丁;

6、不访问和使用来路不明的网络共享和移动介质;

7、设置网络安全隔离区,确保即使感染也不会轻易扩散;

8、针对BYOD设置同样或更高级别的安全策略;

9、加强员工(用户)安全意识培训,不要轻易下载文件、邮件附件或邮件中的不明链接;

10、发现可疑文件及时上报病毒中心。

接下来,瑞星专家将对这种新型敲诈病毒的运行流程进行全面分析:

首先,病毒会解密出后续要用到的一些数据,如:要加密的文件类型、加密后文件的扩展名、勒索提示信息等。

图:部分文件类型

然后,病毒开始检测运行环境是否为虚拟环境,也就是检测环境中是否有VBoxService.exe、vmtoolsd.exe、wireshark.exe、Ollydbg.exe等进程存在,运行环境是否为VirtualBox、VMWare 、Virtual_pc、Anubis等,如果检测出“是”,则病毒进程直接退出不再执行加密操作。此行为是病毒作者为了反调试进行的设计,目的是给病毒分析制造困难。

图:病毒检测运行环境

检查注册表HKEY_CURRENT_USER\Software\Globe\idle 的键值是否为 “YES”,如果是表示已经感染过本机,则病毒进程直接退出不再执行加密操作。

图:病毒检测注册表

使用mshta.exe执行JavaScript脚本添加自启动。

图:病毒添加自启动

删除系统还原备份 、关闭系统自修复选项、使中毒的用户无法使用系统还原点还原。

图:删除系统还原备份

使用QueryPerformanceCounter函数生成随机值,并用此随机值初始化加密算法。

图:初始化加密算法

接下来遍历本地磁盘 、共享文件夹等加密各类文件、并在目录下释放勒索提示文档How to restore files.hta

图:被加密后的文件和勒索文档

修改注册表更改桌面背景

图:病毒更改后的桌面

最后,设置勒索信息自启动项,使每次开机都会弹出勒索提示信息,并做好标识,表示这台机器已被感染过。

 

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。