FilesLocker勒索病毒刚一出现，就迫不及待地发展下线

概述

近日，腾讯智慧安全御见威胁情报中心监控到，一个新型C#编写的勒索病毒FilesLocker已开始逐渐蔓延。通过我们捕获到的病毒样本可知，该病毒文件名伪装了Windows Update文件，使其传播时具有迷惑性。

FilesLocker勒索病毒技术特点和其他勒索病毒相比并无特别之处，目前该病毒的感染量较为有限，病毒传播渠道也不甚明确，显然是个新手。但危险的是，据外媒相关报道，该病毒作者正在大量招募病毒传播代理，一旦FilesLocker勒索病毒具备足够丰富的传播渠道，将会成为企业和个人数据安全的灾难。显然，这个新出现的勒索病毒刚刚问世就走在毁灭之路上。

FilesLocker勒索病毒几乎会加密所有日常工作中使用的文件，包括Office、数据库、源程序、音频、视频、压缩文件，被加密的文件扩展名会被添加.locked后辍名，加密机制和其他勒索病毒类似，没有私钥将无法完成解密。

技术分析

病毒原始文件名：Windows Update.exe

病毒运行后会初始化文件加密Key，加密的部分文件目录和要加密文件扩展名

病毒加密文件类型包含了常见的各类型文档，图片，视频，音频，数据存储文件类型。

对指定的部分系统文档目录进行深层遍历文件加密

获取各磁盘驱动器进行目录，文件遍历，并白名单排除系统根目录的深层遍历

对遍历到文件判断为有效扩展后缀后进行文件加密

文件加密使用AES算法，加密完成后会添加.locked扩展后缀

强随机生成的AES文件加密Key

文件加密Key使用RSA算法加密后保存为用户ID，无法拿到RSA私钥情况下，无法进行文件解密

加密文件完成后隐藏窗口模式命令行执行cmd删除系统卷影信息

病毒会留下中英两种语言的勒索信息提示文件

并打开指定的网页，页面提示中美两种语言的勒索提示信息

勒索病毒显示窗口展示勒索信息，勒索0.18比特币，约1000美元，折合人民币近7000元。

据外媒相关报道，该病毒已开始公开招募病毒传播代理，病毒的勒索消息使用了中英两种语言。

一旦该病毒获得到足够多的传播渠道，极有可能为个人和企业的数据安全带来极大的隐患。

IOCs

Md5:

d1c2f79125818f1e7ea16784acf63712

URL

hxxps://i.loli.net/2018/08/31/5b88484028ab1.png
hxxps://2no.co/239Ys5

安全建议

企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

8、使用腾讯御界高级威胁检测系统。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

个人用户：

1、 开启腾讯电脑管家防止遭遇勒索病毒；

2、 打开腾讯电脑管家工具箱中的文档守护者功能，文档守护者可以利用磁盘冗余空间备份数据文件，极端情况下文件被勒索病毒破坏时，可以帮助恢复文档。