近日，汇信又有收到不少客户的反映称，勒索病毒又开始大面积传播，且大部分杀毒软件都无法拦截。于是，汇信在这里给大家准备了关于勒索病毒的一些资料，供大家了解参考。

（！！文末附应对方案！！）

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

01传播途径

勒索病毒传播素以传播方式快，目标性强著称，传播方式多见于利用“永恒之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打开，进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

02攻击对象

勒索病毒一般分两种攻击对象，一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。

03病毒规律

该类型病毒的目标性强，主要以邮件为传播方式。

勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所 有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

04病毒分析

一般勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:

1、调用加密算法库；

2、通过脚本文件进行Http请求；

3、通过脚本文件下载文件；

4、读取远程服务器文件；

5、通过wscript执行文件；

6、收集计算机信息；

7、遍历文件。

05样本运行流程

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL（即勒索者主体）。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。

06应对方案

感染勒索病毒后，对于政企机构来说，最重要的就是怎么恢复被加密的文件了。一般来说，可以通过历史备份、解密工具或支付赎金来恢复被感染的系统。但是这三种操作都有一定的难度，因此，建议受害者不要自行操作。

为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手:

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染;

3、升级到最新的防病毒等安全特征库;

4、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击;

5、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。

汇信外贸软件再次提醒您：

为了减小病毒造成的损失，一定要做好重要文件及数据的备份，并采用自动备份和手动备份相结合的方式进行本地备份（服务器本机备份）和异地备份（移动硬盘、其他电脑、百度云盘等）。