Locky 勒索病毒

漏洞描述

    Locky勒索病毒主要以邮件和恶链木马的形式进行传播。勒索软件病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。并利用本地的互联网访问权限连接黑客C&C服务器上传本机信息,下载加密公钥写入到注册表中,然后遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密,加密完成后在桌面等显耀位置生成勒索提示文件,指导用户去缴纳赎金(一般为比特币)。

病毒行为分析:

    通过对邮件传播的locky进一步分析,附件中为js脚本,脚本进行了混淆处理,无法直观查看脚本功能,部分脚本内容为:

blob.png

    随后勒索软件遍历所有盘符中的文件并对源码文件(.c、.cpp、.h等)、图片文件、压缩文件、office及pdf等等多种文件进行加密处理。加密完成后勒索软件通过 “Vssadmin.exe Delete Shadows /All /Quiet” 命令删除所有数据备份,防止通过本地恢复。

解决方案

    目前较为高级的勒索病毒,除了交比特币外,基本别无他法。例如这次的locky,目前业界还没有解密办法,所以只能尽量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:

    1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击方式,

    2、尽量不要点击office宏运行提示,避免来自office组件病毒感染

    3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件

    4、升级深信服NGAF到最新的安全防护特征库

    5、升级企业防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击

    6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复

修复方案:

1、下载其他工具清除病毒

2、开启杀毒功能和APT功能

3、升级规则库到最新