2014年春节前后数月,
技佳数据恢复中心受理过数起由于病毒感染造成数据无法打开的案例,这种病毒通过邮件传播,表现为常见格式文件正常后缀后边,又多了一些随机字符,这些文档均被加密而无法打开,同时在电脑桌面,会出现要求感染者支付相应数量比特币才能解密的提示。由于这种病毒通过RSA-2048和AES-128算法对文件进行加密,以现有计算机硬件条件下,是不可能对其进行强制解密的。同期,每天都有几个客户电话咨询这种病毒感染的问题。病毒爆发后,主流防病毒软件纷纷升级数据库完成对其剿杀,这种病毒也就销声匿迹了,而近来,一个名为Locky的新型勒索病毒又开始流行起来。
一、什么是勒索病毒?
2013年9月,戴尔公司发现一种名为“CryptoLocker”的勒索软件,它通过邮件形式扩散,对计算机中近百种文件格式进行加密,并向感染者勒索300美元或300欧元,仅在其传播的最初100天内,就感染了超过20万台计算机。
2014年12月,ESET和Sophos公司发现一款可以自我复制的勒索病毒VirLock,它不仅具备其前辈CryptoLocker的全部功能,同时还会对将感染计算机桌面锁定,以侵犯著作权为由,向感染者勒索0.652个比特币。而这就是本文一开始提到的
技佳公司受理过得感染案例。
传统病毒通常只对操作系统或应用程序进行破坏,或者通过木马形式对用户进行远程控制,通常只要重装系统或采用安全软件进行杀毒,就能解决问题。而勒索病毒感染的却是用户文件,照片、文档等等重要文件一旦被加密,感染者除了向犯罪分子支付赎金,别无他法。
二、勒索病毒的传播手段
1. 通过邮件附件传播
2. 通过U盘、移动硬盘等可移动存储在不同计算机中交叉传播
3. 当用户无意访问到恶意网站时,病毒会后台下载并自动运行
4. 与其它恶意程序捆绑传播
三、勒索病毒的表现形式
1. Office、TXT、图片、视频、音频、压缩文件、数据库等常见格式文件后缀被增加了一段字符(如:图片.jpg.Locky),但一些非主流文件,例如某些程序采集的特殊格式文件却正常。
2. 计算机主屏幕被锁定。
3. 伪装为安全软件,提示用户发现安全威胁,从而引导用户购买所谓的“安全软件”。
4. 弹出勒索对话框,提示用户文件已被加密,要求支付一定数额的比特币以解密,如下边两图所示。
四、如何防止勒索病毒的感染
1. 安装安全防护软件,并自动更新病毒库,安全软件厂商通常都会即使嗅探出病毒的潜在威胁并及时发布样本库更新。
2. 不要运行来历不明邮件中的附件,如Word、Excel文档等。
3. 互联网上下载的Office文档,当提示“宏已被禁用”,切勿启用。最新的Locky病毒,一旦用户启用宏,Word文档就会从黑客指定的IP下载病毒程序。