继2018年10月FilesLocker勒索病毒诞生以来,针对企事业单位的网络攻击行动就未曾间断。近日,腾讯安全御见威胁情报中心监测发现,该病毒已全新升级到2.0版,不仅会直接修改桌面壁纸、使用新的域名,而且加密文件扩展名后缀由1.0版本的357增加到367,以此使更多的电脑文件遭受加密破坏,对用户信息财产安全造成极大的威胁。
(图:FilesLocker1.0版本病毒作者发布招募代理合作贴)
目前该病毒攻击活动仍在持续,仅初步统计,国内已有多家政府机关、企事业单位遭遇FilesLocker勒索病毒2.0版本攻击。腾讯安全御点终端安全管理系统已全面拦截并查杀该病毒,建议用户尽快做好防范工作。
据腾讯安全技术专家介绍,勒索病毒FilesLocker在国内最早出现于今年十月,自诞生之初就开始招募病毒传播代理,以寻求规模化、产业化发展。作为新兴勒索病毒,FilesLocker几乎可以加密包括Office、数据库、源程序、音频、视频、压缩文件等各类常见类型文件格式,加密机制则和其他勒索病毒类似,中招用户须交0.18比特币获取私钥完成文件解密。
与上一版本相比,本次FilesLocker2.0版本依旧伪装Windows更新程序,代码结构并无太大变化。不同之处在于,2.0样本除跳转到浏览器打开勒索消息界面,还会修改桌面壁纸、使用全新的域名,加密文件扩展名后辍由1.0版本的357个增加到367个,同时加密扩展后缀修改为.[fileslocker@pm.me],以此使更多的电脑文件会被加密破坏。但勒索赎金反而有所下降,从1.0版本时的0.18比特币降低到了2.0版勒索0.15比特币。
(图:FilesLocker2.0版本修改用户桌面壁纸信息)
经溯源分析,FilesLocker2.0使用RSA+AES的加密方式,随机生成加密密钥,以获得理想的高强度密码对用户文档进行加密。对此,腾讯安全技术专家表示,从理论上来说,病毒作者使用自身弹窗形式来告知受害者勒索信息,如果加密文件完成后病毒进程没有推出,那么可以在内存中查找密钥尝试进行解密。
由于勒索病毒FilesLocker 2.0的解密极其复杂,用户电脑一旦感染病毒后,很难找回文件。因此构建完备的事前防御手段保护文档数据安全显得至关重要。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业网管,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制;推荐全网安装御点终端安全管理系统,终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
(图:腾讯安全御点终端安全管理系统)
此外,马劲松提醒广大个人用户,建议实时开启腾讯电脑管家等主流安全软件加强防护。目前,腾讯电脑管家推出的文档守护者功能,可以利用磁盘冗余空间备份数据文件,在文件被勒索病毒破坏的紧急情况下,有助于广大用户快速恢复文档。