近日，瑞星安全專家捕獲到一個(gè)極具破壞性的勒索病毒LockerGoga，該病毒影響惡劣，不僅會(huì)設(shè)置開機(jī)密碼，同時(shí)還會(huì)加密電腦中的文件，由于加密的文件中包括重要的系統(tǒng)文件，因此會(huì)導(dǎo)致計(jì)算機(jī)關(guān)機(jī)或重啟后無法進(jìn)入系統(tǒng)，即使用戶重裝系統(tǒng)，重要文件也無法恢復(fù)。

[[262321]]

電腦被加密后無法重啟視頻：https://v.qq.com/x/page/l0859yz7fus.html

據(jù)媒體報(bào)道，目前國外大量公司均已遭受攻擊，其中包括全球最大的鋁供應(yīng)商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機(jī)硅巨頭邁圖集團(tuán)Momentive、Altran Technologies公司等。

瑞星安全專家通過進(jìn)一步分析發(fā)現(xiàn)，LockerGoga勒索病毒之所以很危險(xiǎn)，是因?yàn)樗粌H會(huì)加密文件進(jìn)行勒索，而且還會(huì)破壞操作系統(tǒng)，這種行為與常見的勒索病毒截然不同，可以說具有明顯的惡意攻擊意圖。

目前，根據(jù)瑞星監(jiān)測(cè)數(shù)據(jù)顯示，暫未發(fā)現(xiàn)該病毒在國內(nèi)的大規(guī)模攻擊事件，安全專家提醒廣大用戶提前做好以下防御措施，以防LockerGoga勒索病毒發(fā)起惡意攻擊。

防御措施

• 不下載運(yùn)行來歷不明的軟件。
• 提高上網(wǎng)安全意識(shí)，做好重要數(shù)據(jù)備份。
• 及時(shí)安裝系統(tǒng)補(bǔ)丁，設(shè)置復(fù)雜密碼。
• 安裝殺毒軟件，保持防護(hù)開啟，查殺勒索病毒。
• 安裝勒索病毒防御軟件，攔截勒索病毒加密文件。

應(yīng)急措施

• 已中毒機(jī)器斷網(wǎng)，防止感染其它機(jī)器。
• 已中毒機(jī)器重裝系統(tǒng)。
• 未中毒機(jī)器安裝殺軟。
• 未中毒機(jī)器安裝瑞星之劍，勒索防御軟件。
• 未中毒機(jī)器及時(shí)備份重要文件。

病毒分析

1. 不帶參數(shù)的進(jìn)程

(1) Windows進(jìn)程提權(quán)。

圖：進(jìn)程提權(quán)

(2) 將病毒程序移動(dòng)到C:\Users\Administrator\AppData\Local\Temp目錄下，重命名后的名稱是tgyturcXXXX.exe(XXXX為四個(gè)隨機(jī)數(shù)字)。

圖：移動(dòng)目錄

(3) 將tgyturcXXXX.exe以命令行-m的方式啟動(dòng)。該進(jìn)程會(huì)創(chuàng)建命令行為i SM-tgytutrc -s的多個(gè)子進(jìn)程。

圖：創(chuàng)建進(jìn)程

(4) 在桌面創(chuàng)建勒索信"README_LOCKED.txt"。

圖：勒索信息

圖：勒索信內(nèi)容

2. 帶參數(shù)- m的父進(jìn)程

(1) 創(chuàng)建互斥體"MX-tgytutrc"。

圖：互斥體

(2) 遍歷磁盤文件。

圖：遍歷磁盤

(3) 創(chuàng)建命令行參數(shù)是 i SM-tgytutrc -s的子進(jìn)程，并一直監(jiān)控子進(jìn)程的狀態(tài)，如果子進(jìn)程意外關(guān)閉則重新創(chuàng)建帶此參數(shù)的子進(jìn)程。

圖：創(chuàng)建進(jìn)程

三、帶參數(shù) i SM-tgytutrc -s的子進(jìn)程

(1) 打開父進(jìn)程創(chuàng)的互斥體"MX-tgytutrc"，如果互斥體不存在，子進(jìn)程會(huì)退出。

圖：打開互斥體

(2) 子進(jìn)程獲取父進(jìn)程傳過來的用base64加密的文件路徑，用base64解密后，得到要加密的文件路徑。

圖：獲取路徑

(3) base64解碼獲得RSA公鑰。

圖：RSA公鑰

(4) 加密文件，在文件名稱后追加“.locked"，加密算法采用的是AES算法加密，AES的密鑰是隨機(jī)生成的，并且被RSA公鑰加密后追加到了被加密的文件末尾處。

圖：加密文件

(5) 加密的文件類型除了以下之外還加密了大量其他文件，并且C:\Boot文件夾里面的文件全部被加密而且還可以被多次加密。

圖：加密的文件類型

圖：C:\Boot

4. 其他階段

勒索病毒破壞了系統(tǒng)文件，致使重新啟動(dòng)電腦失敗。

圖：進(jìn)入系統(tǒng)失敗