国家计算机病毒应急处理中心通过对互联网的监测发现,一种利用python语言编写的恶意程序Fsociety.Locker出现。该恶意程序通过发送电子邮件附件等社会工程学的方式进行传播,诱使计算机用户点击邮件附件。
我们分析发现,该恶意软件就是一款勒索软件,其具有以下功能:
一、创建注册表实现自身启动;
二、删除系统还原备份;
三、遍历受感染操作系统的C-Z盘符,得到指定扩展名的文件列表;
四、被加密的文件扩展名列表,可以看到已经被locky勒索软件加密后的文件也成为了该勒索软件的目标;
五、使用AES算法进行加密;
六、为了使用比特币付款,该恶意程序会自带下载Tor浏览器的功能;
七、反虚拟机功能,该样本在虚拟机中无法执行。
另外,恶意程序Locky完成加密后,会使用“fs0ciety”作为文件加密后的后缀名,同时会在操作系统中出现提示信息,要求受感染的用户访问指定的Web网站支付一定的比特币(电子货币),系统中加密的文件才可以被解锁。
专家提醒:
针对这种情况,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)如果收到的陌生发件人的电子邮件要谨慎打开,特别是不要轻易打开其中的附件。
(二)建议打开操作系统中防病毒软件的“实时监控”功能,对操作操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心