VirLock勒索病毒集感染、勒索、锁屏功能于一身

2018-11-16   

威胁等级:★★★★
VirLock勒索病毒与其他大多数勒索软件不同,集感染、勒索、锁屏功能于一身,不仅加密电脑里的文档、图片等重要资料,还会在加密文件中植入病毒,一旦复制到其他电脑上,也会被其感染,从而进行更大范围勒索。

病毒名:

Virus.VirLock

危害详情:

添加自启动,锁定计算机,感染文件,勒索用户

病毒攻击视频:

查杀病毒视频:

拦截病毒视频:

具体行为:

将感染体释放到以下位置:

%USERPROFILE% \⟨random folder⟩\⟨random file name⟩.exe
%ALLUSERSPROFILE% \⟨random folder⟩\⟨random file name⟩.exe

例如:

%USERPROFILE% \GawgYAUQ\dMYQMAkw.exe
%ALLUSERSPROFILE% \RUgkoYwI\waIwwAog.exe

修改注册表设置自启动项:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\⟨random name⟩
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\⟨random name⟩
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit⟨random name⟩

创建服务来启动病毒程序:

服务名称:

⟨random name⟩

映像路径:

%ALLUSERSPROFILE% \⟨random folder⟩\⟨random file name⟩.exe

它会查找具有以下扩展名的文件进行感染:

.bmp .cer .crt .doc .exe .gif .jpeg .jpg .mdb .mp3 .mpg .p12 .p12 .p7b .pdf .pem .pfx .png .ppt .psd .rar .wma .xls .docx .xlsx .zip

禁止程序运行:

explorer.exe
regedit.exe
cmd.exe 

锁定计算机无法操作,弹出勒索窗口:

电脑重启之后可能被设置密码无法进入

预防措施:

  1. 不要轻易点击陌生的邮件附件,当一个文件用docx(Word文档)作图标,却是EXE可执行文件时,显然属于恶意程序伪装,一定不要打开。
  2. 不使用外挂、破解补丁、非官方途径下载等容易传播病毒的软件。
  3. 保持安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。

[责任编辑:瑞瑞]