|
尊敬的用户:
您好!
趋势科技中国在此通知您:
国外勒索软件TROJ_CRILOCK入侵请注意防护
近期有多家用户感染新的勒索软件病毒,感染该病毒后系统中多种文档文件会被加密,需要支付$300美金或比特币获取密钥才能将文件解密。
感染客户会弹出以下勒索窗口:
甚至桌面也会被锁定:
关于这只病毒的详细信息如下:
病毒检测名:
TROJ_CRILOCK
传播渠道:
此木马病毒可能通过聊天工具,电子邮件,恶意网站传播,或由其他病毒释放而来。
病毒行为:
1.释放其自身的复制到以下目录:
%Application
Data%\{随机字母的文件名}.exe
(注意:
%Application Data% 是当前用户的Application Data 文件夹,在Windows 2000,
XP,Server 2003系统中通常为 C:\Documents and Settings\{帐户名称}\Application
Data, 在Windows 7及以上版本系统中通常为 C:\Users\{user
name}\AppData\Roaming.)
2. 会创建互斥量,以避免自己重复运行
3. 会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunCryptoLocker
= "%Application Data%\{随机文件名}.exe"
4. 会添加以下注册表键值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
其中子键file下方列出的是已被加密的文件列表
5. 该病毒会连接以下域名以获取加密的密钥:
gktibioivpqbot.net
mlernipmrlrnjj.com
lnjaadfliwshke.info
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz
这些地址中任意一个可连接的域名最终指向ip地址为93.189.44.187
的服务器
6. 在获取加密密钥后以下类型文档将被加密
*.3fr
*.accdb *.arw *.bay *.cdr *.cer
*.cr2 *.crt *.crw *.dbf *.dcr
*.der *.dng *.doc *.docm *.docx *.dwg
*.dxf
*.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw
*.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12
*.p7b
*.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx
*.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2
*.wpd
*.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx
7.
勒索者接受以下支付方式
Bitcoin
cashU
MoneyPak
Ukash
防护方法:
1. 从网关处阻止恶意地址的连接
2. 将防毒软件病毒码更新至最新
3. 不要随意点开未知发送者的邮件附件
4. 不要随意接收并运行聊天工具中发送的文件(包括看上去是图片文件或office文档的文件)
5. 不要随意访问未知的国外站点,特别是黄色站点或是视频下载站点
6. 重要文档请注意备份
解决方法:
目前趋势科技最新中国区病毒码
10.330.60 已可以检测并处理我们已获得的最新样本
(但是加密的文件尚无法解密)
未安装趋势防毒软件的用户可至以下站点下载ATTK工具进行扫描:
32位windows
操作系统请使用:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustmizedpackage.exe
64位windows操作系统请使用:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe
|
