暴击攻击Windows服务器 LockCrypt勒索病毒太霸道

2018-10-24   

威胁等级：★★★
LockCrypt勒索病毒是黑客通过远程桌面协议（RDP）对有安全隐患的Windows服务器暴力攻击导致的，该病毒加密受害电脑中的文件后会发送名为ReadMe.TxT的赎金票据放到受感染的系统上，同时还向用户发出勒索提示，要求支付比特币来解锁文件。

病毒介绍

与以往的勒索软件不同，LockCrypt是黑客通过远程桌面协议（RDP）暴力攻击来攻击不安全的Windows服务器手动部署的，它没有用到漏洞 攻击和电子邮件等方式。LockCrypt于2017年6月首次被发现，并且已经感染了遍布美国，英国，南非，印度和菲律宾等地区的机器。一旦服务 器受到攻击，黑客就会连接到尽可能多的计算机，并在每个计算机上手动启动LockCrypt勒索软件。

LockCrypt利用强加密，获得启动持久性，删除卷影卷副本，并执行杀死所有非Windows核心进程的批处理文件。加密后，勒索软件会附加。 锁到文件的名称，并将名为ReadMe.TxT的赎金票据放到受感染的系统上。LockCrypt还向用户提供视觉警告，将用户引导至新创建的勒索记录。 LockCrypt要求受害者付款，每台服务器的比特币为0.5比1。

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

传播方式：远程桌面协议(RDP)

静态检测：V17 ESM 网络版 安全云终端 防毒墙 预警系统 TSA

积极防御：瑞星之剑、使用强壮的密码和身份验证

视频测试MD5：12A4388ADE3FAD199631F6A00894104C

文件名加密后的扩展名

.BI_D .lock .1btc .1BTC .mich .2018 .BadNews

比特币地址

17K5weJTPyc8Ktei8c58D2jSGbXZdWXQ2f

1Nez7W9ashFL4BA7vHuA5aoaad9XtqHKCF

电子邮件地址

jekr@aol. com
stnsatan@aol. com
Satan-Stn@bitmessage . ch
enigmax_x@aol . com
djekr@aol. com
jajanielse@aol . com
jajanielse@bitmessage. ch
d_dukens@aol.com
Jacob_888jk@aol. com
Jacob_888jk@bitmessage. ch

SHA-256
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