国家计算机病毒应急处理中心通过对互联网的监测,发现“WastedLocker”的勒索软件利用Windows缓存管理功能逃避安全检测,从而加密用户数据,目的是获取经济利益。 由于Windows系统读取缓存中的数据速度比读取硬盘中的数据速度快,因此Windows系统为了提高性能,会将使用的文件或应用程序读入并存储在Windows缓存中,当用户访问一个文件,操作系统将检查它是否在缓存中,如果在缓存中,则从缓存加载该文件。“WastedLocker”勒索软件利用了这一特点,将一个文件读入Windows缓存管理器,然后关闭原始文件。然后“WastedLocker”将存储在缓存中的文件进行加密,当大量存储在Windows缓存中的文件被加密时,Windows缓存管理器将把加密的缓存数据写回原始文件。由于Windows缓存管理器作为系统进程运行,安全软件允许这一写入操作,而不会检测出异常。“WastedLocker”勒索软件利用这种方法有效地绕过了安全解决方案的勒索软件保护模块,并允许“WastedLocker”加密所有文件。 2020年7月23日瑞士手表企业Garmin公司受到“WastedLocker”勒索软件攻击,全球范围内的客户均无法连接其服务。目前该公司在获得解密密钥后,已恢复运营。 建议我国用户采取以下措施予以防范,一是增强网络安全教育,提高网络安全意识;二是定期对重要文件进行非本地备份;三是定期查看系统日志,检查异常进程。