Gerber勒索病毒变种使用Delphi编写

2018-12-27   

威胁等级:★★★
Gerber勒索病毒最新变种使用Delphi编写,病毒运行后会遍历用户电脑中包括桌面文件 夹、图片、文档、视频等默认保存的文件夹,以及各种应用程序缓存文件和临时文件, 进而将这些文件进行加密,而后再对所有磁盘进行加密。

背景介绍

近日捕获到Gerber勒索病毒变种,此病毒使用Delphi编写,运行之后加密受害者文件,被加密文件会被追加上gerber5后缀,后缀命名风格为:

原始文件名+随机生成字符+.gerber5

例如:test.txt.!!TSsVM!!.MrAlex.gerber5

病毒运行后首先遍历当前用户文件夹中的文件,进行加密。当前用户文件夹中包括了,桌面文件夹,图片、文档、视频等默认保存的文件夹,各种应用程序缓存文件和临时文件。因此大部分重要文件都被加密。之后再遍历所有磁盘进行加密。

样本MD5:24917C74B44A57BD98B3FBB19CE74CF8

威胁等级:★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒会首先获取用户文件夹路径

图:获取用户文件夹路径

遍历用户文件夹中的文件并加密

图:遍历用户文件夹
图:遍历文件加密

之后再遍历所有磁盘,遍历文件加密

图:遍历所有磁盘

加密时会排除 Windows Program Files Program Files (x86) 目录 ,防止系统无法正常运行。

图:遍历文件加密

将原始文件名追加上后缀

图:修改文件后缀

最后弹出勒索窗口,并将桌面背景设置为勒索信息

图:勒索界面

防范措施

  1. 不下载打开可疑文件
  2. 不打开可疑的邮件附件,防止病毒通过钓鱼邮件植入
  3. 及时更新系统补丁,防止病毒通过漏洞植入
  4. 不使用弱口令账号密码,防止病毒通过弱口令植入
  5. 安装杀毒软件,保持防御开启,拦截查杀病毒
  6. 安装勒索防御软件,防止文件被加密

[责任编辑:瑞瑞]