網絡社會征信網

每周病毒預報 (2019年7月8日至2019年7月14日)

來源:國家計算機病毒應急處理中心 發布日期:2019-07-10 16:56:25

國家計算機病毒應急處理中心通過對互聯網的監測發現了Locked勒索病毒正在攻擊國內企業。該勒索病毒使用Go語言編寫,會通過永恒之藍漏洞傳播自身,同時加密計算機中的重要文件,將文件后綴修改為.locked,之后向受害用戶索要贖金,根據其加密后綴將其稱為locked勒索病毒。

攻擊者可以通過永恒之藍漏洞入侵企業中的一臺計算機,并利用這臺計算機作為跳板入侵企業內網中的其他計算機。攻擊者成功入侵第一臺計算機后從指定地址下載勒索病毒加載器。勒索病毒加載器會釋放兩個模塊。一個是locked勒索病毒,另一個則是永恒之藍傳播模塊。永恒之藍傳播模塊會將當前計算機作為FTP服務器,入侵內網其他計算機后通過FTP下載locked勒索病毒運行。永恒之藍傳播模塊是由python語言編寫并打包成exe文件。在加密文件之前,locked勒索病毒會結束系統中運行的數據庫相關的進程以確保勒索病毒能成功修改文件內容。

locked勒索病毒為每臺計算機生成一對RSA密鑰對。這對密鑰對中的私鑰會通過硬編碼在勒索病毒程序文件中的一個RSA公鑰進行加密并格式化后作為PersonID,RSA密鑰對中的公鑰則用來加密為每個待加密文件生成的AES密鑰,加密后的內容將直接存儲在被加密的文件中,而這個AES密鑰才是最終加密文件的密鑰。

此次傳播的locked勒索病毒為今年3月在國外傳播的Tellyouthepass勒索病毒變種。Tellyouthepass勒索病毒與此次傳播的Locked勒索病毒擁有幾乎完全相同的勒索信息,并且在函數命名上也幾乎完全相同。

針對該惡意程序所造成的危害,建議用戶多臺機器不要使用相同的賬號和口令,口令要有足夠的長度和復雜性,并定期更換。重要資料的共享文件夾應設置訪問權限控制,并進行定期備份。在所使用的計算機中安裝安全防護軟件,并將病毒庫版本升級至最新版。同時,關閉不必要的端口,并安裝防火墻,以免使電腦受到該惡意程序的危害。

專題活動

龙虎赌博怎么玩的