騰訊安全：FilesLocker勒索病毒再度升級 企業(yè)須盡早構(gòu)建安全防御體系

繼2018年10月FilesLocker勒索病毒誕生以來,針對企事業(yè)單位的網(wǎng)絡(luò)攻擊行動就未曾間斷。近日,騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn),該病毒已全新升級到2.0版,不僅會直接修改桌面壁紙、使用新的域名,而且加密文件擴展名后綴由1.0版本的357增加到367,以此使更多的電腦文件遭受加密破壞,對用戶信息財產(chǎn)安全造成極大的威脅。

　　(圖:FilesLocker1.0版本病毒作者發(fā)布招募代理合作貼)

目前該病毒攻擊活動仍在持續(xù),僅初步統(tǒng)計,國內(nèi)已有多家政府機關(guān)、企事業(yè)單位遭遇FilesLocker勒索病毒2.0版本攻擊。騰訊安全御點終端安全管理系統(tǒng)已全面攔截并查殺該病毒,建議用戶盡快做好防范工作。

據(jù)騰訊安全技術(shù)專家介紹,勒索病毒FilesLocker在國內(nèi)最早出現(xiàn)于今年十月,自誕生之初就開始招募病毒傳播代理,以尋求規(guī)?；?、產(chǎn)業(yè)化發(fā)展。作為新興勒索病毒,FilesLocker幾乎可以加密包括Office、數(shù)據(jù)庫、源程序、音頻、視頻、壓縮文件等各類常見類型文件格式,加密機制則和其他勒索病毒類似,中招用戶須交0.18比特幣獲取私鑰完成文件解密。

與上一版本相比,本次FilesLocker2.0版本依舊偽裝Windows更新程序,代碼結(jié)構(gòu)并無太大變化。不同之處在于,2.0樣本除跳轉(zhuǎn)到瀏覽器打開勒索消息界面,還會修改桌面壁紙、使用全新的域名,加密文件擴展名后輟由1.0版本的357個增加到367個,同時加密擴展后綴修改為.[fileslocker@pm.me],以此使更多的電腦文件會被加密破壞。但勒索贖金反而有所下降,從1.0版本時的0.18比特幣降低到了2.0版勒索0.15比特幣。

　　(圖:FilesLocker2.0版本修改用戶桌面壁紙信息)

經(jīng)溯源分析,FilesLocker2.0使用RSA+AES的加密方式,隨機生成加密密鑰,以獲得理想的高強度密碼對用戶文檔進(jìn)行加密。對此,騰訊安全技術(shù)專家表示,從理論上來說,病毒作者使用自身彈窗形式來告知受害者勒索信息,如果加密文件完成后病毒進(jìn)程沒有推出,那么可以在內(nèi)存中查找密鑰嘗試進(jìn)行解密。

由于勒索病毒FilesLocker 2.0的解密極其復(fù)雜,用戶電腦一旦感染病毒后,很難找回文件。因此構(gòu)建完備的事前防御手段保護(hù)文檔數(shù)據(jù)安全顯得至關(guān)重要。對此,騰訊安全反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)網(wǎng)管,盡量關(guān)閉不必要的文件共享和端口,對重要文件和數(shù)據(jù)進(jìn)行定期非本地備份;采用高強度的密碼,同時對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制;推薦全網(wǎng)安裝御點終端安全管理系統(tǒng),終端殺毒和修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

　　(圖:騰訊安全御點終端安全管理系統(tǒng))

此外,馬勁松提醒廣大個人用戶,建議實時開啟騰訊電腦管家等主流安全軟件加強防護(hù)。目前,騰訊電腦管家推出的文檔守護(hù)者功能,可以利用磁盤冗余空間備份數(shù)據(jù)文件,在文件被勒索病毒破壞的緊急情況下,有助于廣大用戶快速恢復(fù)文檔。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。