勒索阴云笼罩全球,个人、企业、政府无不受其威胁。近日,360安全大脑国内首家发现一新增勒索病毒家族,并将其命名为chchbuy。经360安全大脑溯源分析发现,该勒索病毒主要通过爆破远程桌面的方式进行手动投毒,且感染一台机器后会通过端口扫描工具,在内网进行横向扩散,不幸中招恐威胁整个局域网安全,造成个人、企业难以估量的损失。
检测数据显示,目前已有大批计算机遭chchbuy勒索病毒攻击,且该勒索病毒已发展出文件后缀名分别为.chch,和.megac的两大变种版本。不过广大用户无需过分担忧,在360安全大脑的极智赋能下,360安全卫士可有效拦截chchbuy勒索病毒。
360安全专家分析发现,chchbuy勒索病毒在加密文件前,会调用系统API生成一个全局随机数密钥,随后使用硬编码在病毒的RSA公钥对全局随机数密钥进行加密,并通过base64编码后,将其作为ID写入勒索提示信息尾部。
加密文件过程中,该勒索病毒则会采用一次一密的加密方式,使用Salsa20算法对每个待加密文件使用不同密钥加密,但最多加密前4KB内容。用于加密文件的密钥,则会被全局密钥加密后写入被加密文件尾部。
此外,该勒索病毒在加密本地磁盘的文件的同时,还会尝试遍历网络资源。一旦有一台计算机感染该勒索病毒,内网中其他开启共享但未进行有效权限控制的机器,也可能遭受勒索病毒侵害。
值得一提的是,感染该勒索病毒后,木马扫描全盘资料时,会忽略以下路径文件,而其余路径下的所有文件将全部被加密处理。
360安全专家通过攻击者留下的邮箱与其取得联系,了解到该勒索病毒目前解密赎金为0.3个比特币(人民币约2万元)。
日前,360安全大脑发布《2019年10月勒索疫情分析》报告,明确指出勒索病毒仍是当前网络安全的重大威胁。而不到半个月,360安全大脑就再度发现新增勒索病毒家族,也进一步证实了这一观点。
目前,该勒索病毒虽处于新生期,但从扩散形式以及变种更新速度上来看,若不及时防范极可能在企业内网间大范围扩散,威胁企业数据信息及财产安全。不过,在360安全大脑的赋能下,360安全卫士可直接拦截查杀该病毒,保护用户免受勒索病毒威胁。
针对此类勒索病毒,360安全大脑给出以下几点安全建议:
1、前往weishi.360.cn下载安装360安全卫士,拦截各类病毒木马保护电脑安全;
2、内网中的多台机器,避免使用相同的账号和口令,尽可能使用复杂密码,并定期更换;
3、电脑中重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
4、及时更新电脑系统,定期检测软件安全漏洞,第一时间修补补丁;
5、定期检查服务器新增账户、Guest启用、Windows系统日志、杀毒软件异常拦截情况;
6、从正规渠道下载各类软件,谨慎使用杀软已拦截软件。