VirLock勒索病毒集感染、勒索、锁屏功能于一身

2018-11-16   

威胁等级：★★★★
VirLock勒索病毒与其他大多数勒索软件不同，集感染、勒索、锁屏功能于一身，不仅加密电脑里的文档、图片等重要资料，还会在加密文件中植入病毒，一旦复制到其他电脑上，也会被其感染，从而进行更大范围勒索。

病毒名：

Virus.VirLock

危害详情：

添加自启动，锁定计算机，感染文件，勒索用户

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

具体行为：

将感染体释放到以下位置：

%USERPROFILE% \⟨random folder⟩\⟨random file name⟩.exe
%ALLUSERSPROFILE% \⟨random folder⟩\⟨random file name⟩.exe

例如:

%USERPROFILE% \GawgYAUQ\dMYQMAkw.exe
%ALLUSERSPROFILE% \RUgkoYwI\waIwwAog.exe

修改注册表设置自启动项：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\⟨random name⟩
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\⟨random name⟩
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit⟨random name⟩

创建服务来启动病毒程序：

服务名称：

⟨random name⟩

映像路径：

%ALLUSERSPROFILE% \⟨random folder⟩\⟨random file name⟩.exe

它会查找具有以下扩展名的文件进行感染：

.bmp .cer .crt .doc .exe .gif .jpeg .jpg .mdb .mp3 .mpg .p12 .p12 .p7b .pdf .pem .pfx .png .ppt .psd .rar .wma .xls .docx .xlsx .zip

禁止程序运行：

explorer.exe
regedit.exe
cmd.exe 

锁定计算机无法操作，弹出勒索窗口：

电脑重启之后可能被设置密码无法进入

预防措施：

1. 不要轻易点击陌生的邮件附件，当一个文件用docx（Word文档）作图标，却是EXE可执行文件时，显然属于恶意程序伪装，一定不要打开。
2. 不使用外挂、破解补丁、非官方途径下载等容易传播病毒的软件。
3. 保持安全软件的运行状态，及时修复系统漏洞，实时拦截病毒风险。