国家计算机病毒应急处理中心通过对互联网的监测,发现一种名为Ouroboros的勒索软件在我国湖北、山东等地通过垃圾邮件传播,感染了医疗和电力系统的计算机。Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,该病毒加密文件后会添加.Lazarus扩展后缀。目前该勒索软件无法被解密。
Ouroboros勒索软件通过垃圾邮件进行传播,使用加壳程序进行伪装,病毒运行后首先使用PowerShell命令行删除卷影,部分样本还会同时禁用任务管理器。该勒索病毒首先获取本机的IP、磁盘信息、随机生成的文件加密Key信息、使用的地址邮箱地址等信息,并将上述信息回传至IP为176.31.68.30(位于法国)的命令控制服务器。随后对服务器返回结果进行判断是否正常,如果正常,则获得加密秘钥,否则将拷贝一个硬编码密钥进行备用。病毒同时会留下名为Read-Me-Now.txt的勒索说明文档,要求联系指定邮箱购买解密工具。由于在该病毒基础设施完善情况下,病毒攻击过程中使密钥获取困难,因此目前无法解密。
针对该勒索软件特点,建议我国重要信息系统和关键信息基础设施用户采取以下措施予以防范,一是不轻易打开不明来历的电子邮件和附件;二是开启安全防护软件,并保持最新版本;三是将重要资料进行不定期的非本地备份。
|