破壞系統+加密文件的高危病毒來襲 國外大量公司已中招
近日,瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga,該病毒影響惡劣,不僅會設置開機密碼,同時還會加密電腦中的文件,由於加密的文件中包括重要的系統文件,因此會導致計算機關機或重啓後無法進入系統,即使用戶重裝系統,重要文件也無法恢復。
圖:電腦被加密後無法重啓
據媒體報道,目前國外大量公司均已遭受攻擊,其中包括全球最大的鋁供應商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、AltranTechnologies公司等。
瑞星安全專家通過進一步分析發現,LockerGoga勒索病毒之所以很危險,是因爲它不僅會加密文件進行勒索,而且還會破壞操作系統,這種行爲與常見的勒索病毒截然不同,可以說具有明顯的惡意攻擊意圖。
目前,根據瑞星監測數據顯示,暫未發現該病毒在國內的大規模攻擊事件,安全專家提醒廣大用戶提前做好以下防禦措施,以防LockerGoga勒索病毒發起惡意攻擊。
防禦措施
1、不下載運行來歷不明的軟件。
2、提高上網安全意識,做好重要數據備份。
3、及時安裝系統補丁,設置複雜密碼。
4、安裝殺毒軟件,保持防護開啓,查殺勒索病毒。
5、安裝勒索病毒防禦軟件,攔截勒索病毒加密文件。
應急措施
1、已中毒機器斷網,防止感染其它機器。
2、已中毒機器重裝系統。
3、未中毒機器安裝殺軟。
4、未中毒機器安裝瑞星之劍,勒索防禦軟件。
5、未中毒機器及時備份重要文件。
病毒分析
一、不帶參數的進程
1、Windows進程提權。
圖:進程提權
2、將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下,重命名後的名稱是tgyturcXXXX.exe(XXXX爲四個隨機數字)。
圖:移動目錄
3、將tgyturcXXXX.exe以命令行-m的方式啓動。該進程會創建命令行爲i SM-tgytutrc -s的多個子進程。
圖:創建進程
4、在桌面創建勒索信"README_LOCKED.txt"。
圖:勒索信息
圖:勒索信內容
二、帶參數- m的父進程
1、創建互斥體"MX-tgytutrc"。
圖:互斥體
2、遍歷磁盤文件。
圖:遍歷磁盤
3、創建命令行參數是iSM-tgytutrc -s的子進程,並一直監控子進程的狀態,如果子進程意外關閉則重新創建帶此參數的子進程。
圖:創建進程
三、帶參數i SM-tgytutrc -s的子進程
1、打開父進程創的互斥體"MX-tgytutrc",如果互斥體不存在,子進程會退出。
圖:打開互斥體
2、子進程獲取父進程傳過來的用base64加密的文件路徑,用base64解密後,得到要加密的文件路徑。
圖:獲取路徑
3、base64解碼獲得RSA公鑰。
圖:RSA公鑰
4、加密文件,在文件名稱後追加“.locked",加密算法採用的是AES算法加密,AES的密鑰是隨機生成的,並且被RSA公鑰加密後追加到了被加密的文件末尾處。
圖:加密文件
5、加密的文件類型除了以下之外還加密了大量其他文件,並且C:\Boot文件夾裏面的文件全部被加密而且還可以被多次加密。
圖:加密的文件類型
圖:C:\Boot
四、其他階段
勒索病毒破壞了系統文件,致使重新啓動電腦失敗。
圖:進入系統失敗