專門加密受害者電腦文件、從而勒索錢財的敲詐者類病毒一直陰魂不散,CryptoLocker就是其中比較活躍的一個家族。近期在各大論壇和貼吧、知道等網絡社區上,有不少網友求助說自己電腦的重要文檔和圖片變成了“.aaa”后綴文件,經過360QVM團隊跟蹤分析,這是CryptoLocker敲詐者病毒的最新變種作祟。
該病毒變種會永久破壞電腦中的原始文件,并且用RSA-2048加密文件,如果中招,短期內基本無法解密文件。病毒幕后黑手以此向受害者勒索500美元,如果在指定時間未支付,贖金還要加倍,否則很難恢復被加密的文件。
針對敲詐者類病毒,360安全衛士已獨家推出免疫功能——“文檔圖片防護”,可以全面攔截此類病毒的加密破壞行為。另外根據在線殺毒掃描平臺VirusTotal檢測,360是國內唯一能檢出CryptoLocker病毒最新變種的安全產品。
病毒樣本分析
1、自我拷貝到臨時目錄,固定+隨機字符串命名自身,刪除原病毒。
2、修改注冊表設置自啟動,啟動項是一組隨機加密密鑰
不同時間啟動項不同
3、刪除文件卷影副本,使得文件無法通過vssamin恢復
4、加密指定類型文件
病毒加密的文件主要包括如下類型,幾乎覆蓋所有重要文件資料的后綴名:
.pef.srw.x3f.der.cer.crt.pem.odt.ods.odp.odm.odc.odb.doc.docx.kdc.mef.mrw.ref.nrw.orf.raw.rwl
.rw2.mdf.dbf.psd.pdd.pdf.eps.jpg.jpe.dng.3fr.arw.srf.sr2.bay.crw.cr2.dcr.ai.indd.cdr.erf.bar
.hkx.raf.rof.dba.db0.kdb.mpq.vfs0.mcm.eta.m2.lrf.vpp.ff.cfr.snx.lvl.arc.ntl.fsh.itdb.itl
.mddata.sidd.sidn.bkf.qic.bkp.bc7.bc6.pkpass.tax.gdb.qdf.t12.t13.ibank.sum.sie.zip.w3x
.rim.psk.tor.vpk.iwd.kf.mlx .fpk.dazip.vtf.vcf.esm.blob.dmp.layout.menu.ncf.sid.sis
.ztmp.vdf.mov.fos.sb.itm.wmo.map.wmo.svg.cas.gho.syncdb.mdb.ackup.hkdb.hplg.hvpl.icxs
.docm.wps.xls.xlsx.xlsm.xlk.ppt.pptx.pptm.mdb.accdb.pst.dwg.xf.dxg.wpd.rtf.wb2.pfx.p12
.p7b.p7c.txt.jpeg.png.rb.css.js.flv.m3u.py.desc.xxx.wotreplay.big.pak
5、提示受害者打開指定網站,向其勒索支付贖金來恢復文件
受害者打開指定網站之后的提示:
受害者如想恢復被加密的文件,需要在指定時間內支付500美元,如果不及時支付,病毒索要的贖金則會翻倍為1000美元。
由于病毒網站使用暗網連接進行敲詐,很難定位到病毒幕后黑手。一旦中招將損失巨大,必須以預防為主。
敲詐者病毒的防御措施
1、定期備份重要文件;
2、操作系統和IE、Flash等常用軟件及時打好補丁,以免病毒利用漏洞自動入侵電腦;
3、不輕易打開陌生人發來的可疑文件和郵件附件;
4、360安全衛士已獨家推出免疫敲詐者病毒的防護功能——“文檔圖片防護”,可以全面攔截此類病毒的加密破壞行為。
根據在線殺毒掃描平臺VirusTotal檢測,全球僅兩款殺毒軟件能夠檢出此CryptoLocker敲詐者病毒的最新變種,360是國內唯一能檢出該病毒的安全產品。
來源:中原財經網http://finance.ll.gov.cn/detail/detail_1_21272.html
