國產勒索病毒Xiaoba
Xiaoba勒索病毒,是一種新型電腦病毒,是一款國產化水平極高的勒索病毒,主要以郵件,程式木馬,網頁掛馬的形式進行傳播。這種病毒利用各種加密算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。倒計時200秒還不繳贖金,被加密的檔案就會被全部銷毀。
基本介紹
傳播途徑,攻擊對象,病毒規律,攻擊過程,應對方案,
傳播途徑
打著“絕地求生”外掛的名義,誘騙玩家關閉殺軟運行
病毒檔案一旦進入本地,就會自動運行,自動生成本地化密鑰。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示檔案,並且加入一個置頂視窗,結束explorer,指導用戶去繳納贖金。且變種類型非常快,對常規的防毒軟體都具有免疫性。攻擊的樣本以exe、vbe等類型為主,對常規依靠特徵檢測的安全產品是一個極大的挑戰。
攻擊對象
Xiaoba病毒幾乎攻擊所有用戶,主要針對企業用戶(如xtbl,wallet)。
病毒規律
該類型病毒的目標性強,主要以郵件為傳播方式。勒索病毒檔案一旦被用戶點擊打開,進行創建本機密鑰。然後,將加密公鑰私鑰寫入到註冊表中,遍曆本地所 有磁碟中的Office 文檔、圖片等檔案,對這些檔案進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示檔案,指導用戶去繳納贖金,200內不交納贖金就撕票,禁止啟動任務管理器,不讓中招者結束木馬進程;同時,刪除安全模式,令人無法進入安全模式及時搶救系統;關閉Windows自動修復和錯誤恢復;刪除檔案備份。最後病毒將刪除MBR(磁碟主引導記錄),造成系統藍屏,機器無法啟動,檔案無法讀取。200秒結束後,就意味著失去所有被加密的檔案。此時,“Xiaoba”又露出了它囂張的嘴臉,刪除加密檔案後,彈出所謂的“重要通知”對中招者加以嘲弄。給用戶的正常工作帶來了極為嚴重的影響。種種惡劣行為的目的,就是封堵中招者恢復設備和檔案的渠道,從而實現其牟利的目的。
攻擊過程
升級版的Xiaoba勒索病毒,感染力及危害程度雙雙升級。為防止該病毒在國內大肆擴散,專家提醒玩家,“十掛九毒”,黑客往往利用人們求勝心切的心理,偽造各類熱門遊戲外掛,誘騙玩家關閉殺軟運行。需要打開陌生連結時,一定確保全全軟體的開啟。它偽裝成軟體安裝包擴散傳播。為了讓中招者放鬆警惕,病毒執行時會彈出“載入頁面”,讓人誤以為是正常的軟體安裝現象,背地裡實際上進行著悄悄加密的勾當,中招檔案的後綴名均被更改為“Xiaoba”。
