亚信安全详解病毒技术细节
Globelmposter家族首次出现时间为2017年5月,近日再次活跃,并有大量变种来袭。亚信安全已经拦截该家族的最新变种,将其命名为RANSOM_FAKEGLOBE.THAOLAH。
该病毒在被感染系统中生成如下自身拷贝文件:
• %Application Data%\{ Malware name }.exe
为达到自启动目的,该病毒添加如下注册表键值:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe
该病毒避免加密文件名中含有下列字符串的文件:
• {Malware name }
• how_to_back_files.html
• {GUID}
该病毒避免加密下列文件夹中的文件:
• Windows
• Microsoft
• Microsoft Help
• Windows App Certification Kit
• Windows Defender
• ESET
• COMODO
• Windows NT
• Windows Kits
• Windows Mail
• Windows Media Player
• Windows Multimedia Platform
• Windows PhoneKits
• Windows Phone Silverlight Kits
• Windows Photo Viewer
• WindowsPortable Devices
• Windows Sidebar
• WindowsPowerShell
• NVIDIA Corporation
• Microsoft.NET
• Internet Explorer
• Kaspersky Lab
• McAfee
• Avira
• spytech software
• Sysconfig
• Avast
• Dr.Web
• Symantec
• Symantec_Client_Security
• system volume information
• AVG
• Microsoft Shared
• Common Files
• Outlook Express
• Movie Maker
• Chrome
• Mozilla Firefox
• Opera
• YandexBrowser
• Ntldr
• Wsus
• ProgramData
被加密后的文件扩展名为:
• crypted!
其会在加密文件路径下,生成如下勒索提示信息文件:
• how_to_back_files.html
生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:
亚信安全教你如何防范
勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在演变,其攻击方式更加多样化。对于勒索病毒的变种,亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线,行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下:
• 不要点击来源不明的邮件以及附件;
• 及时升级系统,打全系统补丁;
• 尽量关闭不必要的文件共享权限和不必要的端口;
• 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储;
• 亚信安全病毒码版本13.992.60 ,云病毒码版本13.992.71,全球码版本13.991.00已经可以检测到该病毒,请用户及时升级病毒码版本;
• 亚信安全终端安全产品OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻拦勒索病毒对用户文件加密;
• 亚信安全邮件安全网关产品,可以有效拦截勒索病毒邮件,做到在源头上进行阻断拦截。
免责声明:
本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。