ITBear旗下自媒体矩阵:

文件后缀名变成.aaa?这是敲诈者病毒作祟!

   时间:2015-08-12 14:16:32 来源:中原财经网编辑:星辉 发表评论无障碍通道

专门加密受害者电脑文件、从而勒索钱财的敲诈者类病毒一直阴魂不散,CryptoLocker就是其中比较活跃的一个家族。近期在各大论坛和贴吧、知道等网络社区上,有不少网友求助说自己电脑的重要文档和图片变成了“.aaa”后缀文件,经过360QVM团队跟踪分析,这是CryptoLocker敲诈者病毒的最新变种作祟。

该病毒变种会永久破坏电脑中的原始文件,并且用RSA-2048加密文件,如果中招,短期内基本无法解密文件。病毒幕后黑手以此向受害者勒索500美元,如果在指定时间未支付,赎金还要加倍,否则很难恢复被加密的文件。

针对敲诈者类病毒,360安全卫士已独家推出免疫功能——“文档图片防护”,可以全面拦截此类病毒的加密破坏行为。另外根据在线杀毒扫描平台VirusTotal检测,360是国内唯一能检出CryptoLocker病毒最新变种的安全产品。

病毒样本分析

1、自我拷贝到临时目录,固定+随机字符串命名自身,删除原病毒。

2、修改注册表设置自启动,启动项是一组随机加密密钥

不同时间启动项不同

3、删除文件卷影副本,使得文件无法通过vssamin恢复

4、加密指定类型文件

病毒加密的文件主要包括如下类型,几乎覆盖所有重要文件资料的后缀名:

.pef.srw.x3f.der.cer.crt.pem.odt.ods.odp.odm.odc.odb.doc.docx.kdc.mef.mrw.ref.nrw.orf.raw.rwl

.rw2.mdf.dbf.psd.pdd.pdf.eps.jpg.jpe.dng.3fr.arw.srf.sr2.bay.crw.cr2.dcr.ai.indd.cdr.erf.bar

.hkx.raf.rof.dba.db0.kdb.mpq.vfs0.mcm.eta.m2.lrf.vpp.ff.cfr.snx.lvl.arc.ntl.fsh.itdb.itl

.mddata.sidd.sidn.bkf.qic.bkp.bc7.bc6.pkpass.tax.gdb.qdf.t12.t13.ibank.sum.sie.zip.w3x

.rim.psk.tor.vpk.iwd.kf.mlx .fpk.dazip.vtf.vcf.esm.blob.dmp.layout.menu.ncf.sid.sis

.ztmp.vdf.mov.fos.sb.itm.wmo.map.wmo.svg.cas.gho.syncdb.mdb.ackup.hkdb.hplg.hvpl.icxs

.docm.wps.xls.xlsx.xlsm.xlk.ppt.pptx.pptm.mdb.accdb.pst.dwg.xf.dxg.wpd.rtf.wb2.pfx.p12

.p7b.p7c.txt.jpeg.png.rb.css.js.flv.m3u.py.desc.xxx.wotreplay.big.pak

5、提示受害者打开指定网站,向其勒索支付赎金来恢复文件

 
 

受害者打开指定网站之后的提示:

受害者如想恢复被加密的文件,需要在指定时间内支付500美元,如果不及时支付,病毒索要的赎金则会翻倍为1000美元。

由于病毒网站使用暗网连接进行敲诈,很难定位到病毒幕后黑手。一旦中招将损失巨大,必须以预防为主。

敲诈者病毒的防御措施

1、定期备份重要文件;

2、操作系统和IE、Flash等常用软件及时打好补丁,以免病毒利用漏洞自动入侵电脑;

3、不轻易打开陌生人发来的可疑文件和邮件附件;

4、360安全卫士已独家推出免疫敲诈者病毒的防护功能——“文档图片防护”,可以全面拦截此类病毒的加密破坏行为。

根据在线杀毒扫描平台VirusTotal检测,全球仅两款杀毒软件能够检出此CryptoLocker敲诈者病毒的最新变种,360是国内唯一能检出该病毒的安全产品。

来源:中原财经网http://finance.ll.gov.cn/detail/detail_1_21272.html

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群