继2018年10月FilesLocker勒索病毒诞生以来,针对企事业单位的网络攻击行动就未曾间断。近日,腾讯安全御见威胁情报中心监测发现,该病毒已全新升级到2.0版,不仅会直接修改桌面壁纸、使用新的域名,而且加密文件扩展名后缀由1.0版本的357增加到367,以此使更多的电脑文件遭受加密破坏,对用户信息财产安全造成极大的威胁。
(图:FilesLocker1.0版本病毒作者发布招募代理合作贴)
目前该病毒攻击活动仍在持续,仅初步统计,国内已有多家政府机关、企事业单位遭遇FilesLocker勒索病毒2.0版本攻击。腾讯安全御点终端安全管理系统已全面拦截并查杀该病毒,建议用户尽快做好防范工作。
据腾讯安全技术专家介绍,勒索病毒FilesLocker在国内最早出现于今年十月,自诞生之初就开始招募病毒传播代理,以寻求规模化、产业化发展。作为新兴勒索病毒,FilesLocker几乎可以加密包括Office、数据库、源程序、音频、视频、压缩文件等各类常见类型文件格式,加密机制则和其他勒索病毒类似,中招用户须交0.18比特币获取私钥完成文件解密。
与上一版本相比,本次FilesLocker2.0版本依旧伪装Windows更新程序,代码结构并无太大变化。不同之处在于,2.0样本除跳转到浏览器打开勒索消息界面,还会修改桌面壁纸、使用全新的域名,加密文件扩展名后辍由1.0版本的357个增加到367个,同时加密扩展后缀修改为.[fileslocker@pm.me],以此使更多的电脑文件会被加密破坏。但勒索赎金反而有所下降,从1.0版本时的0.18比特币降低到了2.0版勒索0.15比特币。
(图:FilesLocker2.0版本修改用户桌面壁纸信息)
经溯源分析,FilesLocker2.0使用RSA+AES的加密方式,随机生成加密密钥,以获得理想的高强度密码对用户文档进行加密。对此,腾讯安全技术专家表示,从理论上来说,病毒作者使用自身弹窗形式来告知受害者勒索信息,如果加密文件完成后病毒进程没有推出,那么可以在内存中查找密钥尝试进行解密。
由于勒索病毒FilesLocker 2.0的解密极其复杂,用户电脑一旦感染病毒后,很难找回文件。因此构建完备的事前防御手段保护文档数据安全显得至关重要。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业网管,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制;推荐全网安装御点终端安全管理系统,终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
(图:腾讯安全御点终端安全管理系统)
此外,马劲松提醒广大个人用户,建议实时开启腾讯电脑管家等主流安全软件加强防护。目前,腾讯电脑管家推出的文档守护者功能,可以利用磁盘冗余空间备份数据文件,在文件被勒索病毒破坏的紧急情况下,有助于广大用户快速恢复文档。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
