北京专业的白癜风医院 https://wapyyk.39.net/hospital/89ac7_labs.html安全通告
亚信安全网络实验室监测到新一轮勒索病毒开始活跃,多个勒索家族出现频繁变种。近日,亚信安全截获了Sapphire勒索家族最新变种文件,其会加密用户电脑中的PDF文档、图片、音频、视频等重要数据。其勒索文本采用法语,主要针对法语用户,但从最新公布的数据来看,该病毒已经遍布世界各地。亚信安全将其命名为Ransom.Win32.SAPPHIRE.A。
攻击流程
病毒详细分析
该程序运行后首先通过设置注册表键值,禁用任务管理器。
PATH:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr
VALUE:REG_DEWORD1
获取C盘下面所有的文件路径存储到控件ListBox1中/p>
使用一个定时器,利用定时器事件触发加密函数/p>
加密密码/p>
加密KEY:99EDD88F11FDABAAA24E1CABB26EFE27CC
加密IVBDF0CBB
从之前控件ListBox1中顺序读取文件路径进行文件加密,加密后的文件被添加.VIVELAG后缀。
加密完成后显示勒索信界面,在该界面输入正确的密码就可以解密,正确密码是上述的加密密码/p>
输入正确的密码后实例化一个新的窗口Form3,并启动一个新的定时器用于解密文件和恢复被禁用的任务管理器。解密文件/p>
文件解密完成后恢复注册表,之后退出程序。
亚信安全教你如何防范
不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装;尽量关闭不必要的文件共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全产品解决方案
亚信安全病毒码版本15..60,云病毒码版本15..71,全球码版本15..00已经可以检测,请用户及时升级病毒码版本。
IOC
SHA1:EAFCF5FAC4