近日，瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga，該病毒影響惡劣，不僅會設置開機密碼，同時還會加密電腦中的文件，由於加密的文件中包括重要的系統文件，因此會導致計算機關機或重啓後無法進入系統，即使用戶重裝系統，重要文件也無法恢復。

　　圖：電腦被加密後無法重啓

　　據媒體報道，目前國外大量公司均已遭受攻擊，其中包括全球最大的鋁供應商挪威海德魯公司Norsk Hydro（損失逾4千萬）、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、AltranTechnologies公司等。

　　瑞星安全專家通過進一步分析發現，LockerGoga勒索病毒之所以很危險，是因爲它不僅會加密文件進行勒索，而且還會破壞操作系統，這種行爲與常見的勒索病毒截然不同，可以說具有明顯的惡意攻擊意圖。

　　目前，根據瑞星監測數據顯示，暫未發現該病毒在國內的大規模攻擊事件，安全專家提醒廣大用戶提前做好以下防禦措施，以防LockerGoga勒索病毒發起惡意攻擊。

　　防禦措施

　　1、不下載運行來歷不明的軟件。

　　2、提高上網安全意識，做好重要數據備份。

　　3、及時安裝系統補丁，設置複雜密碼。

　　4、安裝殺毒軟件，保持防護開啓，查殺勒索病毒。

　　5、安裝勒索病毒防禦軟件，攔截勒索病毒加密文件。

　　應急措施

　　1、已中毒機器斷網，防止感染其它機器。

　　2、已中毒機器重裝系統。

　　3、未中毒機器安裝殺軟。

　　4、未中毒機器安裝瑞星之劍，勒索防禦軟件。

　　5、未中毒機器及時備份重要文件。

　　病毒分析

　　一、不帶參數的進程

　　1、Windows進程提權。

　　圖：進程提權

　　2、將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下，重命名後的名稱是tgyturcXXXX.exe(XXXX爲四個隨機數字）。

　　圖：移動目錄

　　3、將tgyturcXXXX.exe以命令行-m的方式啓動。該進程會創建命令行爲i SM-tgytutrc -s的多個子進程。

　　圖：創建進程

　　4、在桌面創建勒索信"README_LOCKED.txt"。

　　圖：勒索信息

　　圖：勒索信內容

　　二、帶參數- m的父進程

　　1、創建互斥體"MX-tgytutrc"。

　　圖：互斥體

　　2、遍歷磁盤文件。

　　圖：遍歷磁盤

　　3、創建命令行參數是iSM-tgytutrc -s的子進程，並一直監控子進程的狀態，如果子進程意外關閉則重新創建帶此參數的子進程。

　　圖：創建進程

　　三、帶參數i SM-tgytutrc -s的子進程

　　1、打開父進程創的互斥體"MX-tgytutrc"，如果互斥體不存在，子進程會退出。

　　圖：打開互斥體

　　2、子進程獲取父進程傳過來的用base64加密的文件路徑，用base64解密後，得到要加密的文件路徑。

　　圖：獲取路徑

　　3、base64解碼獲得RSA公鑰。

　　圖：RSA公鑰

　　4、加密文件，在文件名稱後追加“.locked"，加密算法採用的是AES算法加密，AES的密鑰是隨機生成的，並且被RSA公鑰加密後追加到了被加密的文件末尾處。

　　圖：加密文件

　　5、加密的文件類型除了以下之外還加密了大量其他文件，並且C:\Boot文件夾裏面的文件全部被加密而且還可以被多次加密。

　　圖：加密的文件類型

　　圖：C:\Boot

　　四、其他階段

　　勒索病毒破壞了系統文件，致使重新啓動電腦失敗。

　　圖：進入系統失敗