腾讯电脑管家在过去的一周(2017/11/27-2017/12/03)捕获3例新勒索病毒和4例已知勒索病毒的变种。值得注意的是,继上周发现Necurs僵尸网络传播Scarab勒索病毒后,本周发现的Globeimposter勒索病毒变种doc同样利用Necurs进行传播。
此外,本周发现一款非常“诚实”的勒索病毒encrptd,该病毒运行后会先向用户确认是否要继续运行;若用户确认运行,病毒就会加密文件并索要比特币;同时,还发现一锁屏勒索病毒,文件名为:真的很危险的勒索病毒.exe,似乎想利用用户好奇心来诱导运行。
该段时间出现的勒索病毒及变种,腾讯电脑管家都可进行拦截免疫。
一、 encrptd勒索病毒
11月28日,发现encrptd勒索病毒,该变种加密文件后,将后缀修改为“.encrptd”,并勒索价值300美元的赎金。该encrptd勒索病毒以注册机的方式传播,用户运行后,会被提示“是否真要运行这个勒索病毒?”,点击确定后才会继续运行并且加密文件,加密完成后更会提示“文件加密完成”,可谓是有史以来“最诚实”的勒索病毒。
二、 WannaPeace勒索病毒
继上周发现Wanna系列的勒索病毒WannaCry、WannaSmile之后,11月27日,发现又一勒索病毒WannaPeace,加密文件后以“_enc+原文件后缀”作为后缀,比如原文件1.jpg,加密后文件名则为1_encjpg。目前所有发现的样本都还在测试阶段,仅会加密C:\testes目录下的文件。
三、 锁屏勒索病毒
12月1日,发现新锁屏勒索病毒,有趣的是,该样本名为REAL DANGEROURS RANSOMWARE.exe(真的很危险的勒索病毒.exe),或许是想利用用户的好奇心来运行样本。根据勒索提示,用户解密文件需要支付0.001比特币,但实际上该样本并不会加密文件,仅具有锁屏功能。
四、 Globeimposter勒索病毒变种doc
继上周率先捕获利用Necurs僵尸网络传播的Scarab勒索病毒后,11月30日再次捕获同样利用Necurs传播的Globeimposter勒索病毒新变种doc,该勒索病毒加密文件后以“.doc”作为后缀,会向受害者勒索0.102个比特币(价值1000美元),如果2天内没有支付,赎金则会翻倍至0.204个比特币。该勒索病毒通过钓鱼邮件附件传播,邮件主题为发票,部分邮件里还会提示附件为高度机密文件,以此来诱惑用户打开运行。
五、 Cryptomix勒索病毒变种TEST
11月29日,发现Cryptomix勒索病毒变种TEST,加密文件后以“.TEST”作为后缀,赎金等信息需要受害者自行联系勒索者。
六、 XTBL勒索病毒变种shadow
12月1日发现XTBL勒索病毒变种shadow,该变种与之前并无太大变化,仅仅将后缀变为“.shadow”。
七、 Globe2勒索病毒变种abc
12月1日,发现Globe2勒索病毒变种abc,加密文件后以“.abc”作为后缀,会勒索1比特币作为赎金。
在全球互联的大背景下,勒索病毒将越来越具威胁性,文档安全问题也日益严峻,腾讯电脑管家针对用户对文档保护的迫切需求,发布文档守护者工具,为用户打造出高效、实用的文件保护方案。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。