破壞系統(tǒng)+加密文件的高危病毒來襲 國外大量公司已中招

雷孝
信息化觀察網(wǎng)
目前國外大量公司均已遭受攻擊,其中包括全球最大的鋁供應(yīng)商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、Altran Technologies公司等。

近日,瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga,該病毒影響惡劣,不僅會設(shè)置開機密碼,同時還會加密電腦中的文件,由于加密的文件中包括重要的系統(tǒng)文件,因此會導致計算機關(guān)機或重啟后無法進入系統(tǒng),即使用戶重裝系統(tǒng),重要文件也無法恢復。

圖:電腦被加密后無法重啟

據(jù)媒體報道,目前國外大量公司均已遭受攻擊,其中包括全球最大的鋁供應(yīng)商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、Altran Technologies公司等。

瑞星安全專家通過進一步分析發(fā)現(xiàn),LockerGoga勒索病毒之所以很危險,是因為它不僅會加密文件進行勒索,而且還會破壞操作系統(tǒng),這種行為與常見的勒索病毒截然不同,可以說具有明顯的惡意攻擊意圖。

目前,根據(jù)瑞星監(jiān)測數(shù)據(jù)顯示,暫未發(fā)現(xiàn)該病毒在國內(nèi)的大規(guī)模攻擊事件,安全專家提醒廣大用戶提前做好以下防御措施,以防LockerGoga勒索病毒發(fā)起惡意攻擊。

防御措施

1、不下載運行來歷不明的軟件。

2、提高上網(wǎng)安全意識,做好重要數(shù)據(jù)備份。

3、及時安裝系統(tǒng)補丁,設(shè)置復雜密碼。

4、安裝殺毒軟件,保持防護開啟,查殺勒索病毒。

5、安裝勒索病毒防御軟件,攔截勒索病毒加密文件。

應(yīng)急措施

1、已中毒機器斷網(wǎng),防止感染其它機器。

2、已中毒機器重裝系統(tǒng)。

3、未中毒機器安裝殺軟。

4、未中毒機器安裝瑞星之劍,勒索防御軟件。

5、未中毒機器及時備份重要文件。

病毒分析

一、不帶參數(shù)的進程

1、Windows進程提權(quán)。

圖:進程提權(quán)

2、將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下,重命名后的名稱是tgyturcXXXX.exe(XXXX為四個隨機數(shù)字)。

圖:移動目錄

3、將tgyturcXXXX.exe以命令行-m的方式啟動。該進程會創(chuàng)建命令行為i SM-tgytutrc -s的多個子進程。

圖:創(chuàng)建進程

4、在桌面創(chuàng)建勒索信"README_LOCKED.txt"。

圖:勒索信息

圖:勒索信內(nèi)容

二、帶參數(shù)- m的父進程

1、創(chuàng)建互斥體"MX-tgytutrc"。

圖:互斥體

2、遍歷磁盤文件。

圖:遍歷磁盤

3、創(chuàng)建命令行參數(shù)是i SM-tgytutrc -s的子進程,并一直監(jiān)控子進程的狀態(tài),如果子進程意外關(guān)閉則重新創(chuàng)建帶此參數(shù)的子進程。

圖:創(chuàng)建進程

三、帶參數(shù) i SM-tgytutrc -s的子進程

1、打開父進程創(chuàng)的互斥體"MX-tgytutrc",如果互斥體不存在,子進程會退出。

圖:打開互斥體

2、子進程獲取父進程傳過來的用base64加密的文件路徑,用base64解密后,得到要加密的文件路徑。

圖:獲取路徑

3、base64解碼獲得RSA公鑰。

圖:RSA公鑰

4、加密文件,在文件名稱后追加“.locked",加密算法采用的是AES算法加密,AES的密鑰是隨機生成的,并且被RSA公鑰加密后追加到了被加密的文件末尾處。

圖:加密文件

5、加密的文件類型除了以下之外還加密了大量其他文件,并且C:\Boot文件夾里面的文件全部被加密而且還可以被多次加密。

圖:加密的文件類型

圖:C:\Boot

四、其他階段

勒索病毒破壞了系統(tǒng)文件,致使重新啟動電腦失敗。

圖:進入系統(tǒng)失敗

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論