國家計算機病毒應急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)了一款名為Seon的勒索病毒����,并且發(fā)現(xiàn)攻擊者通過Bizarro Sundown漏洞利用工具包進行傳播,該漏洞利用工具包常被用于傳播各類勒索病毒如GandCrab�、Locky、Hermes等���。Seon勒索病毒使用AES算法加密文件����,修改文件后綴為 .FIXT���,加密完成后彈出hta窗口與用戶交互索要贖金���。
其首先會生成AES密鑰,存放在注冊表HKEY_CURRENT_USER\Software\GNU\Display -> windowData中����,然后通過ASM獲取CUP信息,遍歷磁盤��,在每個目錄下釋放勒索信息txt文件���,同時使用AES算法對文件進行加密,加密完成后在Temp目錄下釋放startb.bat并運行��,其是用于刪除磁盤卷影和備份的bat命令,用于防止恢復備份���,最后在Temp目錄下釋放readme.hta文件�����,該文件為勒索信息��,通過mshta.exe彈出�����。
針對該惡意程序所造成的危害���,建議用戶做好安全防護,在所使用的計算機中安裝安全防護軟件��,并將病毒庫版本升級至最新版�����,及時給電腦打補丁修復漏洞��,包括Internet Explorer內(nèi)存損壞漏洞CVE-2016-0189�、Flash類型混淆漏洞CVE-2015-7645���、Flash越界讀取漏洞CVE-2016-4117等,以免使電腦受到該惡意程序的危害���。