常伪装成office的勒索病毒——Locky

2018-11-13   

威胁等级：★★★★
Locky勒索病毒主要通过钓鱼邮件传播，常伪装成office办公软件，一旦受害者点击邮件并下载打开邮件附件中的文件，病毒就会运行，该病毒运行后会加密受害者的文件内容和文件名，威胁受害者支付赎金才可以解密。

背景介绍

Locky勒索病毒是一种较为知名的勒索病毒，从2016年开始广泛流行，属于最早一批进入人们的视线的勒索病毒。此病毒主要通过钓鱼邮件传播，攻击者通过垃圾邮件广撒网。邮件附件通常为，伪装office办公软件图标的exe程序、含有宏的office文档、内嵌OLE对象的office文档等。

一旦受害者点击了邮件，并下载打开了邮件附件中携带的文件，Locky勒索病毒就会运行起来。Locky勒索病毒运行后会加密受害者的文件内容和文件名，威胁受害者支付赎金才可以解密。病毒使用对称算法加密文件，使用非对称算法加密密钥。 早期的Locky勒索病毒会将被加密文件后缀修改为 .Locky 。后续变种持续变化，曾使用过.aesir、.zzzzz、.zepto等后缀。此版本加密后缀为 .asasin 。

病毒MD5：46E9060E801A58E9E67430BEDDA5EECE

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

技术分析

病毒运行后，遍历磁盘中的所有文件

然后读文件 使用 对称算法将文件加密

将密文写入到被加密文件

之后将被加密文件重命名

使用Windows api RSA算法将加密文件的密钥加密

加密前

加密后

可以看到，被加密文件被修改为 .asasin 后缀 并且文件名也被修改

被加密的文件内容

弹出勒索信

桌面背景被修改为勒索信息

此外病毒将代码用打乱，用jmp连接，对抗分析

防范措施

1. 此病毒主要通过钓鱼邮件传播，因此防范钓鱼邮件非常重要，病毒通常会伪装为 账单、工资单、公司通知等具有迷惑性质的内容，诱导受害者下载运行附件。
2. 安装杀毒软件，保持防护开启，可以有效拦截已知勒索病毒。
3. 安装勒索防御软件，可以防御已知和未知勒索病毒。