Gerber勒索病毒变种使用Delphi编写
2018-12-27
威胁等级:★★★
Gerber勒索病毒最新变种使用Delphi编写,病毒运行后会遍历用户电脑中包括桌面文件 夹、图片、文档、视频等默认保存的文件夹,以及各种应用程序缓存文件和临时文件, 进而将这些文件进行加密,而后再对所有磁盘进行加密。
背景介绍
近日捕获到Gerber勒索病毒变种,此病毒使用Delphi编写,运行之后加密受害者文件,被加密文件会被追加上gerber5后缀,后缀命名风格为:
原始文件名+随机生成字符+.gerber5
例如:test.txt.!!TSsVM!!.MrAlex.gerber5
病毒运行后首先遍历当前用户文件夹中的文件,进行加密。当前用户文件夹中包括了,桌面文件夹,图片、文档、视频等默认保存的文件夹,各种应用程序缓存文件和临时文件。因此大部分重要文件都被加密。之后再遍历所有磁盘进行加密。
样本MD5:24917C74B44A57BD98B3FBB19CE74CF8
威胁等级:★★★
病毒攻击视频
查杀病毒视频
拦截病毒视频
技术分析
病毒会首先获取用户文件夹路径
图:获取用户文件夹路径
遍历用户文件夹中的文件并加密
图:遍历用户文件夹
图:遍历文件加密
之后再遍历所有磁盘,遍历文件加密
图:遍历所有磁盘
加密时会排除 Windows Program Files Program Files (x86) 目录 ,防止系统无法正常运行。
图:遍历文件加密
将原始文件名追加上后缀
图:修改文件后缀
最后弹出勒索窗口,并将桌面背景设置为勒索信息
图:勒索界面
防范措施
- 不下载打开可疑文件
- 不打开可疑的邮件附件,防止病毒通过钓鱼邮件植入
- 及时更新系统补丁,防止病毒通过漏洞植入
- 不使用弱口令账号密码,防止病毒通过弱口令植入
- 安装杀毒软件,保持防御开启,拦截查杀病毒
- 安装勒索防御软件,防止文件被加密
编辑:瑞瑞 阅读: