勒索病毒紧急通告

发布日期:2016年3月24日

绿盟科技安全团队捕获勒索病毒样本(Locky),经过分析,此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒,会自动加密电脑文件。除支付赎金外,目前尚无解密办法。鉴于勒索病毒造成的严重后果,绿盟科技发出此紧急公告,提醒用户注意防范,避免感染。

防范方法

1.对于个人客户:

1)升级防病毒软件到最新病毒库。
2)定期异地备份重要文件。
3)针对不明邮件中的附件,切勿随意打开。
4)在windows中开启显示扩展名设置,针对可执行(.EXE、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件,切勿双击打开,针对office中的宏提示,不要进行点击运行。
5)在高权限的cmd里执行,将以下后缀的文件默认打开程序变为记事本:

ftype JSFile=C:\Windows\System32\Notepad.exe %1
ftype JSEFile=C:\Windows\System32\Notepad.exe %1
ftype VBSFile=C:\Windows\System32\Notepad.exe %1
ftype VBEFile=C:\Windows\System32\Notepad.exe %1
ftype WSFFile=C:\Windows\System32\Notepad.exe %1
ftype WSHFile=C:\Windows\System32\Notepad.exe %1

2.对于企业客户

1)升级企业防病毒到最新病毒库。
2)定期异地备份文件数据。
3)提醒员工不要打开来历不明的邮件。
4)部署绿盟高级威胁分析系统TAC。
5)升级邮件过滤系统。
6)在高权限的cmd里执行,将以下后缀的文件默认打开程序变为记事本:

ftype JSFile=C:\Windows\System32\Notepad.exe %1
ftype JSEFile=C:\Windows\System32\Notepad.exe %1
ftype VBSFile=C:\Windows\System32\Notepad.exe %1
ftype VBEFile=C:\Windows\System32\Notepad.exe %1
ftype WSFFile=C:\Windows\System32\Notepad.exe %1
ftype WSHFile=C:\Windows\System32\Notepad.exe %1

病毒分析

勒索病毒以邮件附件方式传播。附件是一个zip压缩包,包含执行脚本,以js文件格式结尾。

js文件

js文件

点击运行后,会下载勒索软件,感染运行后,即对本地文件进行加密。

勒索软件的业务逻辑

勒索软件的业务逻辑

病毒感染过程:

1.勒索软件通常以压缩包附件形式隐藏在邮件中,通过各种形式引诱用户打开运行。
2.运行后,会从网络上下载真实的勒索软件样本(这里下载是PE文件,文件名随机,下载地址也在不断更新)。
3.运行后,会从网络上下载公钥内容写入到注册表中。
4.用公钥对关键文件进行加密,更改桌面背景,并弹出勒索信息提示框,要求付费解密。
5.最后会自行删除勒索软件样本,以躲避查杀和分析。

绿盟检测报告

绿盟检测报告


绿盟TAC沙箱产品的检测结果截图

详细分析和解决方案:

针对勒索软件攻击,3月22日晚上绿盟科技官网已经发布IDS/IPS(567、568、569)和NF(600、601)的规则包,请自行下载。 绿盟科技安全团队后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: ttp://www.nsfocus.com

Spread the word. Share this post!

Meet The Author

Leave Comment