专门加密受害者电脑文件、从而勒索钱财的敲诈者类病毒一直阴魂不散,CryptoLocker就是其中比较活跃的一个家族。近期在各大论坛和贴吧、知道等网络社区上,有不少网友求助说自己电脑的重要文档和图片变成了“.aaa”后缀文件,经过360QVM团队跟踪分析,这是CryptoLocker敲诈者病毒的最新变种作祟。
该病毒变种会永久破坏电脑中的原始文件,并且用RSA-2048加密文件,如果中招,短期内基本无法解密文件。病毒幕后黑手以此向受害者勒索500美元,如果在指定时间未支付,赎金还要加倍,否则很难恢复被加密的文件。
针对敲诈者类病毒,360安全卫士已独家推出免疫功能——“文档图片防护”,可以全面拦截此类病毒的加密破坏行为。另外根据在线杀毒扫描平台VirusTotal检测,360是国内唯一能检出CryptoLocker病毒最新变种的安全产品。
病毒样本分析
1、自我拷贝到临时目录,固定+随机字符串命名自身,删除原病毒。
2、修改注册表设置自启动,启动项是一组随机加密密钥
不同时间启动项不同
3、删除文件卷影副本,使得文件无法通过vssamin恢复
4、加密指定类型文件
病毒加密的文件主要包括如下类型,几乎覆盖所有重要文件资料的后缀名:
.pef.srw.x3f.der.cer.crt.pem.odt.ods.odp.odm.odc.odb.doc.docx.kdc.mef.mrw.ref.nrw.orf.raw.rwl
.rw2.mdf.dbf.psd.pdd.pdf.eps.jpg.jpe.dng.3fr.arw.srf.sr2.bay.crw.cr2.dcr.ai.indd.cdr.erf.bar
.hkx.raf.rof.dba.db0.kdb.mpq.vfs0.mcm.eta.m2.lrf.vpp.ff.cfr.snx.lvl.arc.ntl.fsh.itdb.itl
.mddata.sidd.sidn.bkf.qic.bkp.bc7.bc6.pkpass.tax.gdb.qdf.t12.t13.ibank.sum.sie.zip.w3x
.rim.psk.tor.vpk.iwd.kf.mlx .fpk.dazip.vtf.vcf.esm.blob.dmp.layout.menu.ncf.sid.sis
.ztmp.vdf.mov.fos.sb.itm.wmo.map.wmo.svg.cas.gho.syncdb.mdb.ackup.hkdb.hplg.hvpl.icxs
.docm.wps.xls.xlsx.xlsm.xlk.ppt.pptx.pptm.mdb.accdb.pst.dwg.xf.dxg.wpd.rtf.wb2.pfx.p12
.p7b.p7c.txt.jpeg.png.rb.css.js.flv.m3u.py.desc.xxx.wotreplay.big.pak
5、提示受害者打开指定网站,向其勒索支付赎金来恢复文件
受害者打开指定网站之后的提示:
受害者如想恢复被加密的文件,需要在指定时间内支付500美元,如果不及时支付,病毒索要的赎金则会翻倍为1000美元。
由于病毒网站使用暗网连接进行敲诈,很难定位到病毒幕后黑手。一旦中招将损失巨大,必须以预防为主。
敲诈者病毒的防御措施
1、定期备份重要文件;
2、操作系统和IE、Flash等常用软件及时打好补丁,以免病毒利用漏洞自动入侵电脑;
3、不轻易打开陌生人发来的可疑文件和邮件附件;
4、360安全卫士已独家推出免疫敲诈者病毒的防护功能——“文档图片防护”,可以全面拦截此类病毒的加密破坏行为。
根据在线杀毒扫描平台VirusTotal检测,全球仅两款杀毒软件能够检出此CryptoLocker敲诈者病毒的最新变种,360是国内唯一能检出该病毒的安全产品。
来源:中原财经网http://finance.ll.gov.cn/detail/detail_1_21272.html