近日，Locky勒索病毒愈演愈烈，國內(nèi)相繼有很多家大中型企業(yè)、政府單位內(nèi)部員工或高層領(lǐng)導(dǎo)的電腦、手機感染了該病毒，導(dǎo)致重要文件被加密，需要繳納贖金才能恢復(fù)正常。這不但影響了組織正常的業(yè)務(wù)運行，同時還給組織和個人帶來了不小的經(jīng)濟損失。深信服建議各單位的IT部門予以重視和做好防范措施!

從深信服應(yīng)急響應(yīng)中心監(jiān)測到的情況來看，很多感染病毒的終端中都有不少業(yè)務(wù)運營、財務(wù)報表、軟件代碼等重要的數(shù)據(jù)文件，危害很大。

這類病毒一般是通過郵件方式進行傳播，黑客對目標(biāo)對象發(fā)送帶有附件的惡意郵件，員工或者領(lǐng)導(dǎo)一旦打開附件后，電腦、手機上的各種重要文件，包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密，無法正常使用。

此外，黑客還會公然修改終端的背景圖片，提出勒索要求，需要員工繳納數(shù)千元不等的贖金才能恢復(fù)這些文件。

目前，深信服已成功提取了數(shù)十萬病毒特征，用戶只需要升級NGAF最新的安全特征庫，就能夠有效地攔截95%以上的Locky病毒入侵行為。建議各行業(yè)用戶及時做好防范應(yīng)對措施，避免不必要的經(jīng)濟和業(yè)務(wù)損失，更多應(yīng)對對策，詳見下文!

什么是Locky勒索病毒

根據(jù)深信服安全專家的研究，Locky勒索病毒主要以郵件和惡鏈木馬的形式進行傳播。勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。

接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進而上傳本機信息并下載加密公鑰。

然后，將加密公鑰寫入到注冊表中，遍歷本地所有磁盤中的Office 文檔、圖片等文件，對這些文件進行格式篡改和加密;

加密完成后，還會在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金(一般為比特幣)。

某被勒索電腦界面

病毒分析

深信服安全團隊通過對郵件傳播的locky進一步分析，發(fā)現(xiàn)郵件附件中內(nèi)容實為js腳本，由于腳本被進行了混淆處理，無法直觀查看腳本功能，其中部分腳本內(nèi)容為：

可以發(fā)現(xiàn)，腳本從指定url處下載勒索病毒，重命名放置在temp目錄下后運行該勒索病毒。

勒索病毒運行后從C&C服務(wù)器中下載加密密鑰，如下圖：

隨后勒索軟件遍歷所有盤符中的文件并對源碼文件(.c、.cpp、.h等)、圖片文件、壓縮文件、office及pdf等多種文件進行加密處理。加密完成后勒索軟件通過 “Vssadmin.exe Delete Shadows /All /Quiet” 命令刪除所有數(shù)據(jù)備份，防止通過本地恢復(fù)。

應(yīng)對方案與建議：

深信服安全團隊自2015年4月份開始就監(jiān)測到勒索類病毒的危害行為，并持續(xù)對大量的病毒樣本進行跟蹤研究，已成功提取了數(shù)十萬病毒防御特征，用戶只需要升級NGAF安全特征庫，就能夠有效地防止95%以上的Locky病毒入侵，如果內(nèi)網(wǎng)已經(jīng)被該類病毒感染，深信服NGAF還能夠迅速定位感染終端，并防止病毒擴散。

目前，要想解密被較為高級的勒索病毒加密后的文件，除了支付比特幣外，基本別無他法。例如這次的locky，業(yè)界還沒有解密辦法，所以只能盡量防止用戶感染該類病毒，我們可以從安全技術(shù)和安全管理兩方面入手：

1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊;

2、盡量不要點擊office宏運行提示，避免來自office組件的病毒感染;

3、需要的軟件從正規(guī)(官網(wǎng))途徑下載，不要雙擊打開.js、.vbs等后綴名文件;

4、升級深信服NGAF到最新的防病毒等安全特征庫;

5、升級企業(yè)防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊;

6、定期異地備份計算機中重要的數(shù)據(jù)和文件，萬一中病毒可以進行恢復(fù)。