安全研究 >> 安全研究详情

【高危预警】国庆假期来了,EvaRichter勒索病毒也来了!!!

作者: 美创科技安全实验室发布日期: 09月29日

01概  况

近日,国外某独立恶意软件安全研究人员曝光了一个新型的勒索病毒——EvaRichter勒索病毒。EvaRichter勒索病毒的入侵版图正在不断扩张,已有部分企业被感染。该病毒一旦渗入系统,就会对存储在计算机上的所有文件进行加密,加密后,增加由随机字母和数字组成的加密后缀,例如.Y8o3b。

点击添加图片描述(最多60个字)

02病毒情况

美创安全实验室第一时间拿到相关病毒样本,经分析发现,EvaRichter勒索病毒运行后首先删除文件的卷影副本。接着,采用高强度的RSA+salsa20算法对存储在计算机上的所有文件进行加密。加密后,影响用户关键业务运行,且暂时无法解密。

点击添加图片描述(最多60个字)

EvaRichter勒索病毒采用了高强度的代码混淆技术,核心的勒索病毒代码被多层封装起来。经研究发现,EvaRichter勒索病毒与之上个月流行的GermanWiper勒索病毒的相似度高达82%,因此,这款勒索病毒极有可能是GermanWiper勒索病毒的最新变种。至于EvaRichter勒索病毒之后会不会大面积传播,需要持续的关注与跟踪,故提醒各政企机构提高警惕!

03详细信息

EvaRichter勒索病毒使用了类似微信的图标,如图:

该勒索病毒会修改桌面壁纸为蓝色,如图:

点击添加图片描述(最多60个字)

并在桌面上留下勒索信息文件,提示受害者如何缴纳赎金获取解密工具,文件信息如下:

点击添加图片描述(最多60个字)

访问黑客留下的解密网址,如图:

点击添加图片描述(最多60个字)

输入勒索提示信息中的Access Code码之后,如下所示:

点击添加图片描述(最多60个字)


点击添加图片描述(最多60个字)

勒索赎金七天之内为0.1521163BTC,相当于1278美元。

04防护措施

为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

点击添加图片描述(最多60个字)

✦ 无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加由随机字母和数字组成的加密后缀,并且无法正常打开。

点击添加图片描述(最多60个字)

✦ 开启诺亚防勒索的情况下:

点击添加图片描述(最多60个字)

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

点击添加图片描述(最多60个字)

✦ 开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

点击添加图片描述(最多60个字)

美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口。


服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1