近日,瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga,該病毒影響惡劣,不僅會設(shè)置開機密碼,同時還會加密電腦中的文件,由于加密的文件中包括重要的系統(tǒng)文件,因此會導致計算機關(guān)機或重啟后無法進入系統(tǒng),即使用戶重裝系統(tǒng),重要文件也無法恢復。
圖:電腦被加密后無法重啟
據(jù)媒體報道,目前國外大量公司均已遭受攻擊,其中包括全球最大的鋁供應(yīng)商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、Altran Technologies公司等。
瑞星安全專家通過進一步分析發(fā)現(xiàn),LockerGoga勒索病毒之所以很危險,是因為它不僅會加密文件進行勒索,而且還會破壞操作系統(tǒng),這種行為與常見的勒索病毒截然不同,可以說具有明顯的惡意攻擊意圖。
目前,根據(jù)瑞星監(jiān)測數(shù)據(jù)顯示,暫未發(fā)現(xiàn)該病毒在國內(nèi)的大規(guī)模攻擊事件,安全專家提醒廣大用戶提前做好以下防御措施,以防LockerGoga勒索病毒發(fā)起惡意攻擊。
防御措施
1、不下載運行來歷不明的軟件。
2、提高上網(wǎng)安全意識,做好重要數(shù)據(jù)備份。
3、及時安裝系統(tǒng)補丁,設(shè)置復雜密碼。
4、安裝殺毒軟件,保持防護開啟,查殺勒索病毒。
5、安裝勒索病毒防御軟件,攔截勒索病毒加密文件。
應(yīng)急措施
1、已中毒機器斷網(wǎng),防止感染其它機器。
2、已中毒機器重裝系統(tǒng)。
3、未中毒機器安裝殺軟。
4、未中毒機器安裝瑞星之劍,勒索防御軟件。
5、未中毒機器及時備份重要文件。
病毒分析
一、不帶參數(shù)的進程
1、Windows進程提權(quán)。
圖:進程提權(quán)
2、將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下,重命名后的名稱是tgyturcXXXX.exe(XXXX為四個隨機數(shù)字)。
圖:移動目錄
3、將tgyturcXXXX.exe以命令行-m的方式啟動。該進程會創(chuàng)建命令行為i SM-tgytutrc -s的多個子進程。
圖:創(chuàng)建進程
4、在桌面創(chuàng)建勒索信"README_LOCKED.txt"。
圖:勒索信息
圖:勒索信內(nèi)容
二、帶參數(shù)- m的父進程
1、創(chuàng)建互斥體"MX-tgytutrc"。
圖:互斥體
2、遍歷磁盤文件。
圖:遍歷磁盤
3、創(chuàng)建命令行參數(shù)是i SM-tgytutrc -s的子進程,并一直監(jiān)控子進程的狀態(tài),如果子進程意外關(guān)閉則重新創(chuàng)建帶此參數(shù)的子進程。
圖:創(chuàng)建進程
三、帶參數(shù) i SM-tgytutrc -s的子進程
1、打開父進程創(chuàng)的互斥體"MX-tgytutrc",如果互斥體不存在,子進程會退出。
圖:打開互斥體
2、子進程獲取父進程傳過來的用base64加密的文件路徑,用base64解密后,得到要加密的文件路徑。
圖:獲取路徑
3、base64解碼獲得RSA公鑰。
圖:RSA公鑰
4、加密文件,在文件名稱后追加“.locked",加密算法采用的是AES算法加密,AES的密鑰是隨機生成的,并且被RSA公鑰加密后追加到了被加密的文件末尾處。
圖:加密文件
5、加密的文件類型除了以下之外還加密了大量其他文件,并且C:\Boot文件夾里面的文件全部被加密而且還可以被多次加密。
圖:加密的文件類型
圖:C:\Boot
四、其他階段
勒索病毒破壞了系統(tǒng)文件,致使重新啟動電腦失敗。
圖:進入系統(tǒng)失敗