近日,360企业安全宣布,针对近期愈演愈烈的敲诈者病毒潮,360天擎已经开发了针对此类敲诈者病毒的文档保护功能。用户只要开启360天擎的实时防护功能,同时开启云安全查杀功能,并及时升级特征库,就可以有效防范这款家族名为“Locky”的敲诈者病毒。
据360威胁情报中心披露,自2016年2月以来,该中心监测到一大波针对中国用户的敲诈者病毒潮,国内有数家大型机构陆续受到冲击。其中国内某央企一周内连续三次中招,所安装的某国外安全软件无法防御,最终导致该企业部分终端用户中招,给该机构造成不可逆的严重损失。
据介绍,Locky敲诈者病毒以邮件的形式进行传播。近期中招的国内企业,其邮件服务器中发现大量主题带有Invoice或Payment字样的邮件(邮件附件主要有两种形式:带invoice字样的doc或.docm文档; 附件为.zip文件,解压后有1至2个js文件)。一旦用户打开邮件携带的恶意附件就会中招,令电脑内的重要文件被病毒“上锁”。由于病毒对文档采用RSA等高强度非对称加密,一旦中招就无法恢复,除非给黑客交赎金购买解密密钥。
带有敲诈者病毒的邮件
Locky敲诈者病毒攻击流程
黑客向受害者邮箱发送带有恶意脚本的.doc或.docm文档,或者附件为.zip的JS文件,这些文件中包含有黑客精心构造的恶意脚本,受害者打开带毒文件后,恶意脚本会主动连接黑客控制的服务器,下载并执行locky恶意程序,并连接黑客C&C服务器上传本机信息,下载加密公钥,然后遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行加密,加密完成后生成勒索提示文件,并将桌面设置为指导用户缴纳赎金示意图。
指导用户缴纳赎金示意图
360发布独家防御措施:
在恶性敲诈病毒变种爆发之际,360特别提醒用户,360安全卫士、360天擎对敲诈者病毒一直都能够进行防护和查杀。用户需要开启杀毒功能,并及时更新,确保企业免受敲诈者病毒侵害。
360对企业用户建议五大防护措施:
不要轻易打开陌生人的邮件,特别是主题和附件包含Payment、Invoice字样的邮件;
可以部署360云桌面,实现集中维护,彻底避免此类攻击;
开启安全软件的实时防护功能,同时开启云安全查杀功能,并及时升级特征库;
开启360天擎针对敲诈者病毒开发的文档保护功能,主动阻止恶意加密文档和图片的行为;
