国家计算机病毒应急处理中心通过对互联网的监测,发现一款Panther勒索病毒极为活跃,经深度分析后发现,此为黑客团伙老豹的又一次散播病毒行动。 据了解,该组织于今年五月底开始传播病毒,通过以供应链攻击的方式,下发潜伏在中文编程语言编译环境中的感染型病毒Peviru,导致用户编译的所有程序都被感染。同时,发现该组织在下发病毒的过程中,同样利用了之前部署的病毒模块,熟悉的老豹字样如同标识般再次出现在完整的进程链之中。但不同的是,此次黑客团伙老豹却以加密文件,勒索钱财为目的,继续攻击网络。 该勒索病毒加载器为fixsys.exe,病毒作者使用VMProtect虚拟化壳保护勒索病毒的核心代码,并通过Process Hollowing的注入方式将Panther勒索病毒本体注入到svchost.exe进程中执行。执行后,该勒索病毒会遍历磁盘分区并加密用户文件。加密过程中,该勒索病毒采用文件后缀和文件目录白名单机制。另外,Panther勒索病毒采用RSA+AES的加密方式,通过开源的CryptoPP加解密库实现。 针对该类恶意程序所造成的危害,建议用户不要运行未知来源的软件。同时提高安全意识,安装防病毒软件,对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行。及时为操作系统、常用软件等打好补丁,以免受到该恶意程序的危害。