最近2024中文字幕大全视频_色狠狠综合网_无码aⅴ精品一区二区成人_先锋影音av资源网_成人激情在线播放_久久丝抹精品综合网站_中文字幕1日本_午夜亚洲?v日韩?v无码大全_在线播放亚洲_欧美人妻少妇精品

警惕勒索病毒，互聯(lián)網(wǎng)時代的新型敲詐行為

近日，Locky勒索病毒愈演愈烈，國內(nèi)相繼有很多家大中型企業(yè)、政府單位內(nèi)部員工或高層領(lǐng)導(dǎo)的電腦、手機(jī)感染了該病毒，導(dǎo)致重要文件被加密，需要繳納贖金才能恢復(fù)正常。

 

這不但影響了組織正常的業(yè)務(wù)運(yùn)行，同時還給組織和個人帶來了不小的經(jīng)濟(jì)損失。深信服建議各單位的IT部門予以重視和做好防范措施！

 

從深信服應(yīng)急響應(yīng)中心監(jiān)測到的情況來看，很多感染病毒的終端中都有不少業(yè)務(wù)運(yùn)營、財務(wù)報表、軟件代碼等重要的數(shù)據(jù)文件，危害很大。

 

這類病毒一般是通過郵件方式進(jìn)行傳播，黑客對目標(biāo)對象發(fā)送帶有附件的惡意郵件，員工或者領(lǐng)導(dǎo)一旦打開附件后，電腦、手機(jī)上的各種重要文件，包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密，無法正常使用。

 

此外，黑客還會公然修改終端的背景圖片，提出勒索要求，需要員工繳納數(shù)千元不等的贖金才能恢復(fù)這些文件。

 

目前，深信服已成功提取了數(shù)十萬病毒特征，用戶只需要升級NGAF最新的安全特征庫，就能夠有效地攔截95%以上的Locky病毒入侵行為。建議各行業(yè)用戶及時做好防范應(yīng)對措施，避免不必要的經(jīng)濟(jì)和業(yè)務(wù)損失，更多應(yīng)對對策，詳見下文！

 

什么是Locky勒索病毒

根據(jù)深信服安全專家的研究，Locky勒索病毒主要以郵件和惡鏈木馬的形式進(jìn)行傳播。勒索病毒文件一旦進(jìn)入本地，就會自動運(yùn)行，同時刪除勒索軟件樣本，以躲避查殺和分析。

 

接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰。

 

然后，將加密公鑰寫入到注冊表中，遍歷本地所有磁盤中的Office 文檔、圖片等文件，對這些文件進(jìn)行格式篡改和加密；

 

加密完成后，還會在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金（一般為比特幣）。

某被勒索電腦界面

病毒分析

深信服安全團(tuán)隊通過對郵件傳播的locky進(jìn)一步分析，發(fā)現(xiàn)郵件附件中內(nèi)容實為js腳本，由于腳本被進(jìn)行了混淆處理，無法直觀查看腳本功能，其中部分腳本內(nèi)容為：

 

可以發(fā)現(xiàn)，腳本從指定url處下載勒索病毒，重命名放置在temp目錄下后運(yùn)行該勒索病毒。

 

勒索病毒運(yùn)行后從C&C服務(wù)器中下載加密密鑰，如下圖：

隨后勒索軟件遍歷所有盤符中的文件并對源碼文件（.c、.cpp、.h等）、圖片文件、壓縮文件、office及pdf等等多種文件進(jìn)行加密處理。加密完成后勒索軟件通過 “Vssadmin.exe delete Shadows /All /Quiet” 命令刪除所有數(shù)據(jù)備份，防止通過本地恢復(fù)。

 

應(yīng)對方案與建議：

深信服安全團(tuán)隊自2015年4月份開始就監(jiān)測到勒索類病毒的危害行為，并持續(xù)對大量的病毒樣本進(jìn)行跟蹤研究，已成功提取了數(shù)十萬病毒防御特征，用戶只需要升級NGAF安全特征庫，就能夠有效地防止95%以上的Locky病毒入侵，如果內(nèi)網(wǎng)已經(jīng)被該類病毒感染，深信服NGAF還能夠迅速定位感染終端，并防止病毒擴(kuò)散。

 

 

目前，要想解密被較為高級的勒索病毒加密后的文件，除了交比特幣外，基本別無他法。例如這次的locky，目前業(yè)界還沒有解密辦法，所以只能盡量防止用戶感染該類病毒，我們可以從安全技術(shù)和安全管理兩方面入手：

1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊方式；

2、盡量不要點擊office宏運(yùn)行提示，避免來自office組件病毒感染；

3、需要的軟件從正規(guī)（官網(wǎng)）途徑下載，不要雙擊打開.js、.vbs等后綴名文件；

4、升級深信服NGAF到最新的防病毒等安全特征庫；

5、升級企業(yè)防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊；

6、定期異地備份計算機(jī)中重要的數(shù)據(jù)和文件，萬一中病毒可以進(jìn)行恢復(fù)。

 

如果您需要更專業(yè)的安全應(yīng)急指導(dǎo)和防護(hù)手段，您可以聯(lián)系深信服的安全應(yīng)急服務(wù)中心，申請免費(fèi)、專業(yè)的應(yīng)急咨詢，為您的IT系統(tǒng)提供安全保障！