國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)一種名為Ouroboros的勒索軟件在我國湖北、山東等地通過垃圾郵件傳播��,感染了醫(yī)療和電力系統(tǒng)的計算機(jī)����。Ouroboros勒索病毒首次出現(xiàn)于2019年8月中旬,目前發(fā)現(xiàn)其主要通過垃圾郵件渠道傳播�����,該病毒加密文件后會添加.Lazarus擴(kuò)展后綴��。目前該勒索軟件無法被解密�����。
Ouroboros勒索軟件通過垃圾郵件進(jìn)行傳播����,使用加殼程序進(jìn)行偽裝,病毒運(yùn)行后首先使用PowerShell命令行刪除卷影�,部分樣本還會同時禁用任務(wù)管理器。該勒索病毒首先獲取本機(jī)的IP�、磁盤信息�、隨機(jī)生成的文件加密Key信息、使用的地址郵箱地址等信息,并將上述信息回傳至IP為176.31.68.30(位于法國)的命令控制服務(wù)器��。隨后對服務(wù)器返回結(jié)果進(jìn)行判斷是否正常��,如果正常�����,則獲得加密秘鑰��,否則將拷貝一個硬編碼密鑰進(jìn)行備用����。病毒同時會留下名為Read-Me-Now.txt的勒索說明文檔,要求聯(lián)系指定郵箱購買解密工具����。由于在該病毒基礎(chǔ)設(shè)施完善情況下,病毒攻擊過程中使密鑰獲取困難�����,因此目前無法解密����。
針對該勒索軟件特點(diǎn),建議我國重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施用戶采取以下措施予以防范,一是不輕易打開不明來歷的電子郵件和附件����;二是開啟安全防護(hù)軟件,并保持最新版本�����;三是將重要資料進(jìn)行不定期的非本地備份�����。