亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，瑞星“云安全”系統(tǒng)截獲一種新型敲詐病毒，該病毒加密文件高達(dá)1054種，文件統(tǒng)一加密為.encrypted格式，進(jìn)而勒索贖金1比特幣（約人民幣4500元）。如果用戶沒有在規(guī)定時(shí)間內(nèi)向黑客付款，被加密的文件將永遠(yuǎn)無法恢復(fù)。目前，瑞星殺毒軟件、瑞星企業(yè)終端安全管理系統(tǒng)軟件等個(gè)人及企業(yè)安全產(chǎn)品均可對該病毒進(jìn)行查殺。

圖：勒索提示信息

瑞星安全專家建議：

1、定期備份系統(tǒng)與重要文件，并離線存儲獨(dú)立設(shè)備；
2、使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具，可分析郵件附件、網(wǎng)頁、文件是否包括惡意軟件，帶有沙箱功能；
3、使用專業(yè)的反病毒軟件、防護(hù)系統(tǒng)，并及時(shí)更新；
4、不打開可疑郵件、可疑網(wǎng)站和可疑鏈接；
5、經(jīng)常給操作系統(tǒng)、設(shè)備及第三方軟件更新漏洞補(bǔ)丁；
6、不訪問和使用來路不明的網(wǎng)絡(luò)共享和移動介質(zhì)；
7、設(shè)置網(wǎng)絡(luò)安全隔離區(qū)，確保即使感染也不會輕易擴(kuò)散；
8、針對BYOD設(shè)置同樣或更高級別的安全策略；
9、加強(qiáng)員工（用戶）安全意識培訓(xùn)，不要輕易下載文件、郵件附件或郵件中的不明鏈接；
10、發(fā)現(xiàn)可疑文件及時(shí)上報(bào)病毒中心。

接下來，瑞星專家將對這種新型敲詐病毒的運(yùn)行流程進(jìn)行全面分析：

首先，病毒會解密出后續(xù)要用到的一些數(shù)據(jù)，如：要加密的文件類型、加密后文件的擴(kuò)展名、勒索提示信息等。

圖：部分文件類型

然后，病毒開始檢測運(yùn)行環(huán)境是否為虛擬環(huán)境，也就是檢測環(huán)境中是否有VBoxService.exe、vmtoolsd.exe、wireshark.exe、Ollydbg.exe等進(jìn)程存在，運(yùn)行環(huán)境是否為VirtualBox、VMWare 、Virtual_pc、Anubis等，如果檢測出“是”，則病毒進(jìn)程直接退出不再執(zhí)行加密操作。此行為是病毒作者為了反調(diào)試進(jìn)行的設(shè)計(jì)，目的是給病毒分析制造困難。

圖：病毒檢測運(yùn)行環(huán)境

檢查注冊表HKEY_CURRENT_USER\Software\Globe\idle 的鍵值是否為 “YES”，如果是表示已經(jīng)感染過本機(jī)，則病毒進(jìn)程直接退出不再執(zhí)行加密操作。

圖：病毒檢測注冊表

使用mshta.exe執(zhí)行JavaScript腳本添加自啟動。

圖：病毒添加自啟動

刪除系統(tǒng)還原備份 、關(guān)閉系統(tǒng)自修復(fù)選項(xiàng)、使中毒的用戶無法使用系統(tǒng)還原點(diǎn)還原。

圖：刪除系統(tǒng)還原備份

使用QueryPerformanceCounter函數(shù)生成隨機(jī)值，并用此隨機(jī)值初始化加密算法。

圖：初始化加密算法

接下來遍歷本地磁盤 、共享文件夾等加密各類文件、并在目錄下釋放勒索提示文檔How to restore files.hta

圖：被加密后的文件和勒索文檔

修改注冊表更改桌面背景

圖：病毒更改后的桌面

最后，設(shè)置勒索信息自啟動項(xiàng)，使每次開機(jī)都會彈出勒索提示信息，并做好標(biāo)識，表示這臺機(jī)器已被感染過。