当前位置:首页 > 业内新闻
业内新闻
警惕勒索病毒卷土重来
发布时间:2016-03-16 09:10:18     发布者:技佳数据恢复中心     --转载请注明出处--
计算机病毒

      2014年春节前后数月,技佳数据恢复中心受理过数起由于病毒感染造成数据无法打开的案例,这种病毒通过邮件传播,表现为常见格式文件正常后缀后边,又多了一些随机字符,这些文档均被加密而无法打开,同时在电脑桌面,会出现要求感染者支付相应数量比特币才能解密的提示。由于这种病毒通过RSA-2048和AES-128算法对文件进行加密,以现有计算机硬件条件下,是不可能对其进行强制解密的。同期,每天都有几个客户电话咨询这种病毒感染的问题。病毒爆发后,主流防病毒软件纷纷升级数据库完成对其剿杀,这种病毒也就销声匿迹了,而近来,一个名为Locky的新型勒索病毒又开始流行起来。

一、什么是勒索病毒?


      2013年9月,戴尔公司发现一种名为“CryptoLocker”的勒索软件,它通过邮件形式扩散,对计算机中近百种文件格式进行加密,并向感染者勒索300美元或300欧元,仅在其传播的最初100天内,就感染了超过20万台计算机。

      2014年12月,ESET和Sophos公司发现一款可以自我复制的勒索病毒VirLock,它不仅具备其前辈CryptoLocker的全部功能,同时还会对将感染计算机桌面锁定,以侵犯著作权为由,向感染者勒索0.652个比特币。而这就是本文一开始提到的技佳公司受理过得感染案例。

      传统病毒通常只对操作系统或应用程序进行破坏,或者通过木马形式对用户进行远程控制,通常只要重装系统或采用安全软件进行杀毒,就能解决问题。而勒索病毒感染的却是用户文件,照片、文档等等重要文件一旦被加密,感染者除了向犯罪分子支付赎金,别无他法。

二、勒索病毒的传播手段


      1. 通过邮件附件传播

      2. 通过U盘、移动硬盘等可移动存储在不同计算机中交叉传播

      3. 当用户无意访问到恶意网站时,病毒会后台下载并自动运行

      4. 与其它恶意程序捆绑传播

三、勒索病毒的表现形式

      1. Office、TXT、图片、视频、音频、压缩文件、数据库等常见格式文件后缀被增加了一段字符(如:图片.jpg.Locky),但一些非主流文件,例如某些程序采集的特殊格式文件却正常。

      2. 计算机主屏幕被锁定。

      3. 伪装为安全软件,提示用户发现安全威胁,从而引导用户购买所谓的“安全软件”。

      4. 弹出勒索对话框,提示用户文件已被加密,要求支付一定数额的比特币以解密,如下边两图所示。
勒索病毒提示
 
勒索病毒提示

四、如何防止勒索病毒的感染

      1. 安装安全防护软件,并自动更新病毒库,安全软件厂商通常都会即使嗅探出病毒的潜在威胁并及时发布样本库更新。

      2. 不要运行来历不明邮件中的附件,如Word、Excel文档等。

      3. 互联网上下载的Office文档,当提示“宏已被禁用”,切勿启用。最新的Locky病毒,一旦用户启用宏,Word文档就会从黑客指定的IP下载病毒程序。
 
宏被禁用

      技佳数据恢复中提醒您,由于此类病毒采用了高强度加密算法,因此,不可能对其强制解密,用户要么放弃文档,要么只能向勒索者支付赎金索取解密秘钥。
合作伙伴 |  业内新闻 |  关于我们 |  友情链接 |  网站地图
北京技佳瑞康科技发展有限公司  版权所有  Copyright @ 2012-2017
Beijing DataBack Technology Development Co.,Ltd. All rights reserved.

公网安备:11010802013182号 工信部备案:
京ICP备13032780号