国家计算机病毒应急处理中心通过对互联网的监测发现Globelmposter勒索病毒又出现最新变种,该变种被命名为十二主神版本。该恶意程序加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。该勒索病毒变种影响范围涉及不同行业,覆盖行业有医疗、政府、能源、贸易等,其中医疗行业受该病毒影响最大。
该勒索病毒变种通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索。首先,此勒索病毒为了保证正常运行,先关闭了 Windows defender。然后创建自启动项,启动项命名为 WindowsUpdateCheck。通过执行cmd命令删除磁盘卷影、停止数据库服务。同时,对磁盘文件进行遍历,排除对非加密文件及目录后,对其余文件进行加密操作,加密后缀名为Ares666,生成勒索信息文件 HOW TO BACK YOUR FILES.txt。在加密完成以后,删除自启动项,执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志。最后,病毒文件进行自删除处理。
针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,对重要的数据文件定期进行非本地备份。同时,不要点击来源不明的邮件附件,不从不明网站下载软件。尽量关闭不必要的文件共享权限。并且要经常更改账户密码,设置强密码。如果业务上无需使用RDP的,建议关闭RDP,以免使电脑受到该恶意程序的危害。
|