腾讯电脑管家在过去的两周内(2018/2/16-2018/3/2)捕获5例新勒索病毒和3例已知勒索病毒的变种。
其中,GlobeImposter勒索病毒爆发,持续针对政企机构的服务器进行攻击;暗网上的勒索病毒服务持续更新,新出现Saturn勒索病毒和Data Keeper勒索病毒;此外,国产勒索病毒xiaoba持续活跃,新增了两例变种。
该段时间出现的勒索病毒及变种,腾讯电脑管家可进行相关拦截和免疫。
一、 Relec勒索病毒
2月16日,发现Relec勒索病毒,该勒索病毒目前处在开发阶段,并不会加密文件。从提示的勒索信息上看,加密文件后会勒索1个比特币;从样本文件上看,该勒索病毒会伪装成pdf进行传播。
二、 DeadRansomware勒索病毒
2月16日,发现DeadRansomware勒索病毒,根据勒索信息,DeadRansomware勒索病毒加密文件后,会勒索价值150美元的比特币。但是分析后发现,DeadRansomware勒索病毒实际上是个锁屏木马,并不会加密文件,从“Decryption Code”处输入” DeadRansonwareDecryptMyFiles”即可退出。
三、 Saturn勒索病毒
2月19日,发现Saturn勒索病毒通过钓鱼邮件等方式传播,加密文件后以“ .saturn ”作为后缀。Saturn勒索病毒是暗网上公开提供的勒索病毒服务之一,服务提供商会从每次勒索赎金中抽取30%作为收益,勒索的赎金可由服务使用者自定义。
四、 BananaCrypt勒索病毒
2月17日,发现BananaCrypt勒索病毒,该勒索病毒加密文件后,会将文件后缀修改为“.bananaCrypt”。根据提示,受害者需要缴纳价值300美元的比特币才能解密文件。
五、 Shifr勒索病毒变种CryptWalker
2月20日,发现Shifr勒索病毒变种Cypher,该勒索病毒加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。
六、 Data Keeper勒索病毒
2月22日,发现Data Keeper勒索病毒,该勒索病毒加密文件后并不会修改文件后缀,只有当用户主动打开文档时才会发现文档被加密了,这使得用户不知道自己电脑上究竟多少文档已经被加密,更加容易恐慌。根据分析,Data Keeper和Saturn勒索病毒一样,同为投放在暗网上的勒索病毒服务,勒索的赎金也可以由服务使用者自定义。
七、 GlobeImposter勒索病毒
2月24日,国内两家省级医院服务器疑似遭最新勒索病毒GlobeImposter攻击,黑客在突破企业防护边界后释放并运行勒索病毒,最终导致系统破坏,影响正常工作秩序。不法黑客要求院方在指定时间内支付价值几万到数十万人民币不等的比特币才可恢复数据。
八、 Xiaoba勒索病毒变种
发现两例Xiaoba勒索病毒变种,其中一例玩起了二次元风,加密文件后将后缀改为.病名は愛です[BaYuCheng@yeah.net].xiaoba,并在桌面背景显示一段恐吓性日文,大意是说看到这段文字的用户将面临“死亡”。此外弹出200秒倒计时窗口,要求用户在规定时间内输入密码,否则将被删除所有文件。
另外一例变种则在加密后将后缀修改为.Encrypted[BaYuCheng@yeah.net].XiaoBa,从勒索信息上看画风很像去年针对服务器攻击的XTBL等家族。
在全球互联的大背景下,勒索病毒将越来越具威胁性,文档安全问题也日益严峻,腾讯电脑管家针对用户对文档保护的迫切需求,发布文档守护者工具,为用户打造出高效、实用的文件保护方案。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。