近日，Locky勒索病毒愈演愈烈，國內(nèi)相繼有很多家大中型企業(yè)、政府單位內(nèi)部員工或高層領(lǐng)導(dǎo)的電腦、手機(jī)感染了該病毒，導(dǎo)致重要文件被加密，需要繳納贖金才能恢復(fù)正常。這不但影響了組織正常的業(yè)務(wù)運(yùn)行，同時(shí)還給組織和個(gè)人帶來了不小的經(jīng)濟(jì)損失。深信服建議各單位的IT部門予以重視和做好防范措施!

從深信服應(yīng)急響應(yīng)中心監(jiān)測(cè)到的情況來看，很多感染病毒的終端中都有不少業(yè)務(wù)運(yùn)營、財(cái)務(wù)報(bào)表、軟件代碼等重要的數(shù)據(jù)文件，危害很大。

這類病毒一般是通過郵件方式進(jìn)行傳播，黑客對(duì)目標(biāo)對(duì)象發(fā)送帶有附件的惡意郵件，員工或者領(lǐng)導(dǎo)一旦打開附件后，電腦、手機(jī)上的各種重要文件，包括軟件源代碼、Word、PPT、PDF、圖片等都會(huì)被加密，無法正常使用。

此外，黑客還會(huì)公然修改終端的背景圖片，提出勒索要求，需要員工繳納數(shù)千元不等的贖金才能恢復(fù)這些文件。

目前，深信服已成功提取了數(shù)十萬病毒特征，用戶只需要升級(jí)NGAF最新的安全特征庫，就能夠有效地?cái)r截95%以上的Locky病毒入侵行為。建議各行業(yè)用戶及時(shí)做好防范應(yīng)對(duì)措施，避免不必要的經(jīng)濟(jì)和業(yè)務(wù)損失，更多應(yīng)對(duì)對(duì)策，詳見下文!

什么是Locky勒索病毒

根據(jù)深信服安全專家的研究，Locky勒索病毒主要以郵件和惡鏈木馬的形式進(jìn)行傳播。勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。

接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰。

然后，將加密公鑰寫入到注冊(cè)表中，遍歷本地所有磁盤中的Office 文檔、圖片等文件，對(duì)這些文件進(jìn)行格式篡改和加密;

加密完成后，還會(huì)在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金(一般為比特幣)。

某被勒索電腦界面

病毒分析

深信服安全團(tuán)隊(duì)通過對(duì)郵件傳播的locky進(jìn)一步分析，發(fā)現(xiàn)郵件附件中內(nèi)容實(shí)為js腳本，由于腳本被進(jìn)行了混淆處理，無法直觀查看腳本功能，其中部分腳本內(nèi)容為：

可以發(fā)現(xiàn)，腳本從指定url處下載勒索病毒，重命名放置在temp目錄下后運(yùn)行該勒索病毒。

勒索病毒運(yùn)行后從C&C服務(wù)器中下載加密密鑰，如下圖：

隨后勒索軟件遍歷所有盤符中的文件并對(duì)源碼文件(.c、.cpp、.h等)、圖片文件、壓縮文件、office及pdf等多種文件進(jìn)行加密處理。加密完成后勒索軟件通過 “Vssadmin.exe Delete Shadows /All /Quiet” 命令刪除所有數(shù)據(jù)備份，防止通過本地恢復(fù)。

應(yīng)對(duì)方案與建議：

深信服安全團(tuán)隊(duì)自2015年4月份開始就監(jiān)測(cè)到勒索類病毒的危害行為，并持續(xù)對(duì)大量的病毒樣本進(jìn)行跟蹤研究，已成功提取了數(shù)十萬病毒防御特征，用戶只需要升級(jí)NGAF安全特征庫，就能夠有效地防止95%以上的Locky病毒入侵，如果內(nèi)網(wǎng)已經(jīng)被該類病毒感染，深信服NGAF還能夠迅速定位感染終端，并防止病毒擴(kuò)散。

目前，要想解密被較為高級(jí)的勒索病毒加密后的文件，除了支付比特幣外，基本別無他法。例如這次的locky，業(yè)界還沒有解密辦法，所以只能盡量防止用戶感染該類病毒，我們可以從安全技術(shù)和安全管理兩方面入手：

1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊;

2、盡量不要點(diǎn)擊office宏運(yùn)行提示，避免來自office組件的病毒感染;

3、需要的軟件從正規(guī)(官網(wǎng))途徑下載，不要雙擊打開.js、.vbs等后綴名文件;

4、升級(jí)深信服NGAF到最新的防病毒等安全特征庫;

5、升級(jí)企業(yè)防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊;

6、定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件，萬一中病毒可以進(jìn)行恢復(fù)。