瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 川普已被玩坏:头像被敲诈病毒拿来恶搞
麦青儿 - 2017-2-28 11:28:00
自第45任美国总统Donald Trump(音译:川普)上台以来,每天话题不断,无论从川普的言谈举止,还是从川普的周边产品,都极大的丰富了人们的日常生活。作为一个极富“个人魅力”的KOL,最近连敲诈病毒(TrumpLocker)都开始拿川普进行恶搞,当用户电脑中了这款敲诈病毒,桌面便会弹出一张川普挑逗的照片提示:”YOU ARE HACKED!!(你被黑了)”

瑞星安全专家介绍,近期瑞星就截获了一个“特别”的敲诈病毒“TrumpLocker”,通过分析病毒样本发现,“TrumpLocker”病毒从代码上来讲,其实并没有什么新意,与去年的VenusLocker属同一类病毒,只是在病毒加密完用户文件后会弹出一张川普照片,让他来提示用户电脑被黑了,这说明不止用户被黑了,就连川普也被黑了。

“TrumpLocker”病毒传播的主要途径是垃圾邮件,当用户点击邮件中的链接,或是下载邮件中的附件,就有可能感染此病毒,上百种文件将被完全加密,用户需按提示支付相应赎金才有可能解密文件。目前,该病毒已被瑞星病毒库收录,瑞星所有安全产品均可对其进行拦截。


通过对“TrumpLocker”病毒的代码进行分析发现,该病毒采用C#开发,使用成熟的密码学算法对文件进行加密,病毒运行之后会将当前中毒的机器名和用户名发送到控制服务器,服务器根据发送的信息,生成加密秘钥、ID和赎金金额等信息。勒索金额并不是固定的,由服务端控制,瑞星安全专家分析的样本勒索150$,大约为1000人民币。


病毒作者会分类加密文件,根据文件后缀名不同,加密的方式也不同。加密分为两大类,一类是加密文件的前1024字节,另一类是加密整个文件。而且病毒还会对文件名进行base64编码,让受害者找不到自己的重要文件,提高勒索成功的概率。同时,病毒还会删除还原点,导致备份被删除,系统无法还原加密文件。

最后,病毒提示用户,文件已加密,需要在72小时内,支付150 US Dollars获取秘钥,否则文件将无法恢复。同时,病毒还提示用户操作方法与支付流程,以便用户进行汇款操作。


瑞星安全专家提醒:
1、警惕陌生人发来的电子邮件,不要随意打开邮件附件中的压缩包或者应用程序。如果必须要打开时,请先对附件进行病毒扫描。

2、定期备份系统与重要文件,并离线存储独立设备。

3、使用专业的反病毒软件、防护系统,并及时更新。

4、加强员工(用户)安全意识培训,不要轻易下载文件、邮件附件或邮件中的不明链接。

5、已经中毒的用户暂时不要重装系统,以免注册表中的加密文件信息丢失。

6、如果用户遇到困难,可及时联系瑞星客服获取帮助。
1
查看完整版本: 川普已被玩坏:头像被敲诈病毒拿来恶搞