國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)了Locked勒索病毒正在攻擊國(guó)內(nèi)企業(yè)�����。該勒索病毒使用Go語言編寫���,會(huì)通過永恒之藍(lán)漏洞傳播自身�,同時(shí)加密計(jì)算機(jī)中的重要文件��,將文件后綴修改為.locked�����,之后向受害用戶索要贖金��,根據(jù)其加密后綴將其稱為locked勒索病毒��。
攻擊者可以通過永恒之藍(lán)漏洞入侵企業(yè)中的一臺(tái)計(jì)算機(jī)����,并利用這臺(tái)計(jì)算機(jī)作為跳板入侵企業(yè)內(nèi)網(wǎng)中的其他計(jì)算機(jī)。攻擊者成功入侵第一臺(tái)計(jì)算機(jī)后從指定地址下載勒索病毒加載器�。勒索病毒加載器會(huì)釋放兩個(gè)模塊。一個(gè)是locked勒索病毒�����,另一個(gè)則是永恒之藍(lán)傳播模塊�。永恒之藍(lán)傳播模塊會(huì)將當(dāng)前計(jì)算機(jī)作為FTP服務(wù)器,入侵內(nèi)網(wǎng)其他計(jì)算機(jī)后通過FTP下載locked勒索病毒運(yùn)行��。永恒之藍(lán)傳播模塊是由python語言編寫并打包成exe文件�。在加密文件之前,locked勒索病毒會(huì)結(jié)束系統(tǒng)中運(yùn)行的數(shù)據(jù)庫(kù)相關(guān)的進(jìn)程以確保勒索病毒能成功修改文件內(nèi)容�。
locked勒索病毒為每臺(tái)計(jì)算機(jī)生成一對(duì)RSA密鑰對(duì)。這對(duì)密鑰對(duì)中的私鑰會(huì)通過硬編碼在勒索病毒程序文件中的一個(gè)RSA公鑰進(jìn)行加密并格式化后作為PersonID���,RSA密鑰對(duì)中的公鑰則用來加密為每個(gè)待加密文件生成的AES密鑰��,加密后的內(nèi)容將直接存儲(chǔ)在被加密的文件中���,而這個(gè)AES密鑰才是最終加密文件的密鑰���。
此次傳播的locked勒索病毒為今年3月在國(guó)外傳播的Tellyouthepass勒索病毒變種。Tellyouthepass勒索病毒與此次傳播的Locked勒索病毒擁有幾乎完全相同的勒索信息��,并且在函數(shù)命名上也幾乎完全相同����。
針對(duì)該惡意程序所造成的危害,建議用戶多臺(tái)機(jī)器不要使用相同的賬號(hào)和口令��,口令要有足夠的長(zhǎng)度和復(fù)雜性���,并定期更換���。重要資料的共享文件夾應(yīng)設(shè)置訪問權(quán)限控制,并進(jìn)行定期備份���。在所使用的計(jì)算機(jī)中安裝安全防護(hù)軟件���,并將病毒庫(kù)版本升級(jí)至最新版��。同時(shí),關(guān)閉不必要的端口���,并安裝防火墻����,以免使電腦受到該惡意程序的危害�。