国家计算机病毒应急处理中心通过对互联网的监测,发现了HDDCryptor勒索软件新变种的最新攻击活动。HDDCryptor利用磁盘加密软件DiskCryptor对磁盘文件和网络共享文件进行加密,并且可以覆盖主引导记录(MBR)。该恶意软件于2016年对旧金山市交通运输局的攻击活动中被发现,2017年在巴西和沙特阿拉伯也发现了一些遭受该恶意软件攻击的受害者。
HDDCryptor勒索软件新变种使用了DiskCryptor软件中一个经过修改的组件,可以对网络共享中的磁盘驱动器、文件夹、文件、打印机和串口等进行加密。其利用免费软件、开源软件和商用软件进行传播。一旦被感染的主机重新启动后,会显示索要等同于250美元价值比特币的勒索信息。对其主要功能模块dcapi.dll进行分析,可以发现其主要的加密流程没有发生变化,而攻击者的联系邮箱的提供商由之前的yandex.ru变为了。
该勒索软件会导致受感染主机的操作系统无法正常启动,直接影响业务可用性,危害较大。针对该勒索软件特点,建议我国重要信息系统和关键信息基础设施用户采取以下措施予以防范,一是从正规渠道下载软件;二是开启安全防护软件,并保持最新版本;三是将重要资料进行不定期的非本地备份。
|