Locky病毒分析及防护

2016年3月,绿盟科技安全团队捕获Locky病毒样本,经过分析,此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒,会自动加密电脑文件。除支付赎金外,目前尚无解密办法。绿盟科技安全专家对该事件相关信息及核心样本进行了分析及验证,并给出应对方案。

Locky病毒危害巨大

操作系统中如果中了勒索病毒的话,就会导致硬盘里的所有文档、图片文件及压缩包等等的文件遭到病毒的高强度加密,如果你想要取回这些文档,目前只有一个办法—-交赎金。受害者需要在制定的时间限制内支付赎金,否则文件将永久无法打开。因为用户文件ZLIB压缩之后还进行了AES加密,如果想暴力破解非常困难,所以很多企业和个人都被迫进行交易,但是很多人即便交付勒索金,也无法导致文件恢复,带来了巨大损失。 现在Locky样本发现勒索提示可以显示中文,新一轮勒索病毒已在中国开始蔓延,故此次勒索事件与以往情况不同,犯罪集团的矛头开始指向中国用户。

Locky病毒过程重现

为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技安全专家联合威胁响应中心的技术专家,对事件涉及的勒索病毒进行了深入分析。该样本包含多个文件,报告中有绿盟科技的工程师模拟重现这个分析过程。

感染步骤

感染步骤

勒索病毒的感染步骤:

  1. 勒索病毒通常以压缩包附件形式隐藏在邮件中,通过各种形式引诱用户打开运行。
  2. 运行后,会从网络上下载真实的勒索软件样本。
  3. 运行后,会从网络上下载公钥内容写入到注册表中。
  4. 用公钥对关键文件进行加密,更改桌面背景,并弹出勒索信息提示框,要求付费解密。
  5. 最后会自行删除勒索软件样本,以躲避查杀和分析。

Locky病毒防护办法

基于目前绿盟科技安全专家的分析情况来看,已经启动了一套应对方案,可以帮助客户应对该事件,避免造成更大的风险和损失,这些方案包括:

  • 检测方案:绿盟威胁分析系统TAC
  • 防护方案:新一代威胁防御解决方案NGTP
  • 产品防护:绿盟科技用户升级即可获得防护能力
  • 手工防护:使用手工方法进行防范
  • 加固工具:绿盟极光发布勒索软件加固工具
Locky病毒防护办法

Locky病毒防护办法

提高安全意识,防患于未然

绿盟科技通过对Locky病毒样本的深入分析和对攻击事件步骤的还原,得知勒索病毒Locky的攻击手法并不新奇,就是通过邮件形式传播,需要被攻击用户主动打开附件内容并点击宏代码执行,由此可见传统的攻击手段并没有失效,Office宏病毒的破坏力依然存在。

硬盘有价,数据无价。现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。但是大部分人却忘记了硬盘会坏,电脑会被盗,文档会被误删,系统会被感染病毒……所以,养成定期的文档异地备份的习惯是很重要的,防止数据丢失等意外状况。

随着科技发展,各种盗号木马层出不穷,各种病毒也在不少用户电脑中肆虐着。作为普通用户,还需多加防范,提高个人安全意识才能做到有备无患。

欲知报告的更多内容,请下载:Locky Virus Analysis and Protection Measures

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment