国家计算机病毒应急处理中心通过对互联网的监测发现了Locked勒索病毒正在攻击国内企业。该勒索病毒使用Go语言编写,会通过永恒之蓝漏洞传播自身,同时加密计算机中的重要文件,将文件后缀修改为.locked,之后向受害用户索要赎金,根据其加密后缀将其称为locked勒索病毒。
攻击者可以通过永恒之蓝漏洞入侵企业中的一台计算机,并利用这台计算机作为跳板入侵企业内网中的其他计算机。攻击者成功入侵第一台计算机后从指定地址下载勒索病毒加载器。勒索病毒加载器会释放两个模块。一个是locked勒索病毒,另一个则是永恒之蓝传播模块。永恒之蓝传播模块会将当前计算机作为FTP服务器,入侵内网其他计算机后通过FTP下载locked勒索病毒运行。永恒之蓝传播模块是由python语言编写并打包成exe文件。在加密文件之前,locked勒索病毒会结束系统中运行的数据库相关的进程以确保勒索病毒能成功修改文件内容。
locked勒索病毒为每台计算机生成一对RSA密钥对。这对密钥对中的私钥会通过硬编码在勒索病毒程序文件中的一个RSA公钥进行加密并格式化后作为PersonID,RSA密钥对中的公钥则用来加密为每个待加密文件生成的AES密钥,加密后的内容将直接存储在被加密的文件中,而这个AES密钥才是最终加密文件的密钥。
此次传播的locked勒索病毒为今年3月在国外传播的Tellyouthepass勒索病毒变种。Tellyouthepass勒索病毒与此次传播的Locked勒索病毒拥有几乎完全相同的勒索信息,并且在函数命名上也几乎完全相同。
针对该恶意程序所造成的危害,建议用户多台机器不要使用相同的账号和口令,口令要有足够的长度和复杂性,并定期更换。重要资料的共享文件夹应设置访问权限控制,并进行定期备份。在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,关闭不必要的端口,并安装防火墙,以免使电脑受到该恶意程序的危害。