国家计算机病毒应急处理中心通过对互联网的监测,发现一款新型勒索病毒家族,并将其命名为chchbuy。该勒索病毒主要通过爆破远程桌面的方式进行手动投毒,且感染一台机器后会通过端口扫描工具,在内网进行横向扩散,不幸受感染后会威胁整个局域网安全,造成个人、企业难以估量的损失。
分析发现,chchbuy勒索病毒在加密文件前,会调用系统API生成一个全局随机数密钥,随后使用硬编码在病毒的RSA公钥对全局随机数密钥进行加密,并通过Base64编码后,将其作为ID写入勒索提示信息尾部。
此外,该勒索病毒在加密本地磁盘的文件的同时,还会尝试遍历网络资源。一旦有一台计算机感染该勒索病毒,内网中其他开启共享但未进行有效权限控制的机器,也可能遭受勒索病毒侵害。
针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,关闭不必要的端口。电脑中重要资料的共享文件夹应设置访问权限控制,并进行定期备份。定期检查服务器新增账户、Guest启用、Windows系统日志、杀毒软件异常拦截情况。同时,给电脑安装安全防护软件,以免使电脑受到该恶意程序的危害。
|