国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

近日，瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga，該病毒影響惡劣，不僅會設(shè)置開機密碼，同時還會加密電腦中的文件，由于加密的文件中包括重要的系統(tǒng)文件，因此會導(dǎo)致計算機關(guān)機或重啟后無法進(jìn)入系統(tǒng)，即使用戶重裝系統(tǒng)，重要文件也無法恢復(fù)。

圖：電腦被加密后無法重啟

據(jù)媒體報道，目前國外大量公司均已遭受攻擊，其中包括全球最大的鋁供應(yīng)商挪威海德魯公司Norsk Hydro（損失逾4千萬）、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、Altran Technologies公司等。

瑞星安全專家通過進(jìn)一步分析發(fā)現(xiàn)，LockerGoga勒索病毒之所以很危險，是因為它不僅會加密文件進(jìn)行勒索，而且還會破壞操作系統(tǒng)，這種行為與常見的勒索病毒截然不同，可以說具有明顯的惡意攻擊意圖。

目前，根據(jù)瑞星監(jiān)測數(shù)據(jù)顯示，暫未發(fā)現(xiàn)該病毒在國內(nèi)的大規(guī)模攻擊事件，安全專家提醒廣大用戶提前做好以下防御措施，以防LockerGoga勒索病毒發(fā)起惡意攻擊。

防御措施

1、不下載運行來歷不明的軟件。

2、提高上網(wǎng)安全意識，做好重要數(shù)據(jù)備份。

3、及時安裝系統(tǒng)補丁，設(shè)置復(fù)雜密碼。

4、安裝殺毒軟件，保持防護(hù)開啟，查殺勒索病毒。

5、安裝勒索病毒防御軟件，攔截勒索病毒加密文件。

應(yīng)急措施

1、已中毒機器斷網(wǎng)，防止感染其它機器。

2、已中毒機器重裝系統(tǒng)。

3、未中毒機器安裝殺軟。

4、未中毒機器安裝瑞星之劍，勒索防御軟件。

5、未中毒機器及時備份重要文件。

病毒分析

一、不帶參數(shù)的進(jìn)程

1、Windows進(jìn)程提權(quán)。

圖：進(jìn)程提權(quán)

2、將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下，重命名后的名稱是tgyturcXXXX.exe(XXXX為四個隨機數(shù)字）。

圖：移動目錄

3、將tgyturcXXXX.exe以命令行-m的方式啟動。該進(jìn)程會創(chuàng)建命令行為i SM-tgytutrc -s的多個子進(jìn)程。

圖：創(chuàng)建進(jìn)程

4、在桌面創(chuàng)建勒索信"README_LOCKED.txt"。

圖：勒索信息

圖：勒索信內(nèi)容

二、帶參數(shù)- m的父進(jìn)程

1、創(chuàng)建互斥體"MX-tgytutrc"。

圖：互斥體

2、遍歷磁盤文件。

圖：遍歷磁盤

3、創(chuàng)建命令行參數(shù)是 i SM-tgytutrc -s的子進(jìn)程，并一直監(jiān)控子進(jìn)程的狀態(tài)，如果子進(jìn)程意外關(guān)閉則重新創(chuàng)建帶此參數(shù)的子進(jìn)程。

圖：創(chuàng)建進(jìn)程

三、 帶參數(shù) i SM-tgytutrc -s的子進(jìn)程

1、打開父進(jìn)程創(chuàng)的互斥體"MX-tgytutrc"，如果互斥體不存在，子進(jìn)程會退出。

圖：打開互斥體

2、子進(jìn)程獲取父進(jìn)程傳過來的用base64加密的文件路徑，用base64解密后，得到要加密的文件路徑。

圖：獲取路徑

3、base64解碼獲得RSA公鑰。

圖：RSA公鑰

4、加密文件，在文件名稱后追加“.locked"，加密算法采用的是AES算法加密，AES的密鑰是隨機生成的，并且被RSA公鑰加密后追加到了被加密的文件末尾處。

圖：加密文件

5、加密的文件類型除了以下之外還加密了大量其他文件，并且C:\Boot文件夾里面的文件全部被加密而且還可以被多次加密。

圖：加密的文件類型

圖：C:\Boot

四、其他階段

勒索病毒破壞了系統(tǒng)文件，致使重新啟動電腦失敗。

圖：進(jìn)入系統(tǒng)失敗