FilesLocker勒索病毒刚一出现,就迫不及待地发展下线

2018-10-31 08:51:04
腾讯智慧安全御见威胁情报中心监控到,一个新型C#编写的勒索病毒FilesLocker已开始逐渐蔓延。FilesLocker勒索病毒作者正在大量招募病毒传播代理,一旦具备足够丰富的传播渠道,将会成为企业和个人数据安全的灾难。

概述

近日,腾讯智慧安全御见威胁情报中心监控到,一个新型C#编写的勒索病毒FilesLocker已开始逐渐蔓延。通过我们捕获到的病毒样本可知,该病毒文件名伪装了Windows Update文件,使其传播时具有迷惑性。

FilesLocker勒索病毒技术特点和其他勒索病毒相比并无特别之处,目前该病毒的感染量较为有限,病毒传播渠道也不甚明确,显然是个新手。但危险的是,据外媒相关报道,该病毒作者正在大量招募病毒传播代理,一旦FilesLocker勒索病毒具备足够丰富的传播渠道,将会成为企业和个人数据安全的灾难。显然,这个新出现的勒索病毒刚刚问世就走在毁灭之路上。

FilesLocker勒索病毒几乎会加密所有日常工作中使用的文件,包括Office、数据库、源程序、音频、视频、压缩文件,被加密的文件扩展名会被添加.locked后辍名,加密机制和其他勒索病毒类似,没有私钥将无法完成解密。

技术分析

病毒原始文件名:Windows Update.exe

病毒运行后会初始化文件加密Key,加密的部分文件目录和要加密文件扩展名

病毒加密文件类型包含了常见的各类型文档,图片,视频,音频,数据存储文件类型。

对指定的部分系统文档目录进行深层遍历文件加密

获取各磁盘驱动器进行目录,文件遍历,并白名单排除系统根目录的深层遍历

对遍历到文件判断为有效扩展后缀后进行文件加密

文件加密使用AES算法,加密完成后会添加.locked扩展后缀

强随机生成的AES文件加密Key

文件加密Key使用RSA算法加密后保存为用户ID,无法拿到RSA私钥情况下,无法进行文件解密

加密文件完成后隐藏窗口模式命令行执行cmd删除系统卷影信息

病毒会留下中英两种语言的勒索信息提示文件

并打开指定的网页,页面提示中美两种语言的勒索提示信息

勒索病毒显示窗口展示勒索信息,勒索0.18比特币,约1000美元,折合人民币近7000元。

据外媒相关报道,该病毒已开始公开招募病毒传播代理,病毒的勒索消息使用了中英两种语言。


一旦该病毒获得到足够多的传播渠道,极有可能为个人和企业的数据安全带来极大的隐患。

IOCs

Md5:

d1c2f79125818f1e7ea16784acf63712

URL

hxxps://i.loli.net/2018/08/31/5b88484028ab1.png
hxxps://2no.co/239Ys5

安全建议

企业用户:

1、 尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

8使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。


个人用户:

1、 开启腾讯电脑管家防止遭遇勒索病毒;

2、 打开腾讯电脑管家工具箱中的文档守护者功能,文档守护者可以利用磁盘冗余空间备份数据文件,极端情况下文件被勒索病毒破坏时,可以帮助恢复文档。


最新资讯