国家计算机病毒应急处理中心通过对互联网的监测发现了一款名为Seon的勒索病毒,并且发现攻击者通过Bizarro Sundown漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件,修改文件后缀为 .FIXT,加密完成后弹出hta窗口与用户交互索要赎金。
其首先会生成AES密钥,存放在注册表HKEY_CURRENT_USER\Software\GNU\Display -> windowData中,然后通过ASM获取CUP信息,遍历磁盘,在每个目录下释放勒索信息txt文件,同时使用AES算法对文件进行加密,加密完成后在Temp目录下释放startb.bat并运行,其是用于删除磁盘卷影和备份的bat命令,用于防止恢复备份,最后在Temp目录下释放readme.hta文件,该文件为勒索信息,通过mshta.exe弹出。
针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版,及时给电脑打补丁修复漏洞,包括Internet Explorer内存损坏漏洞CVE-2016-0189、Flash类型混淆漏洞CVE-2015-7645、Flash越界读取漏洞CVE-2016-4117等,以免使电脑受到该恶意程序的危害。
|