184期报告汇总
安天发布《LockerGoga 勒索软件分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 个名为 LockerGoga 的新型勒索软件。研究 人员发现该勒索软件家族与其他勒索软件 家族不同的是它能充分利用 CPU 的多核特 性来加快破坏效率。
LockerGoga 需要以管理员身份运行并 以主从(master/slave)配置模式进行工作。 LockerGoga 通过在 %TEMP% 文件夹安装 自己本身开启终端感染模式。之后会用 -m 参数开始一个新的进程。Master 进程以 -m 参数运行,负责创建要加密的文件列表和 slave。Slave 进程会以不同的参数来执行。 每个 slave 进程只加密很少一部分文件,以防止被终端安全产品发现。要加密的文件 列表通过 IPC 从主进程获取。在进行文件 加密前,勒索软件首先会在回收站中搜索 文件,然后 LockerGoga 会枚举系统中的所 有文件夹和文件并开始加密,枚举完成后, 勒索软件会在受害者系统上创建勒索信, 并将加密的文件加上 .locked 后缀名。加密 完 成 后,LockerGoga 会 执 行 cipher.exe 来 删除可用空间以防止在受感染的系统中恢 复文件。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。