又是勒索病毒惹的祸！2022年第三次遇到了，防不胜防

#电脑病毒#

又一个客户电脑中了勒索病毒！2022年第三次遇到了，可恶之至，真是防不胜防。

昨天一个客户的数据库连接不上了，影响生产了，让我远程看看。刚远程上，界面刚一显示，脑子就“嗡”的一下，中病毒了吧。界面：界面背景显示成了红色；还有赫然醒目的2行英文字符显示在电脑桌面。

Your files were encrypted!（译文：您的文件已加密！）

Please contact us for decryption.（译文：请联系我们进行解密。）

图1：客户电脑桌面警告界面

这个服务器前一阵子接了外 ，是他们用来传输生产数据的。看来是存在 络安全问题，才导致的勒索病毒告警事件。我查看了一下之前的数据库软件，也登录不上了，生产软件的肯定也连接不上了。该告警并非误 ，而是客户的服务器电脑下载安装了盗版软件，触发了勒索病毒。

勒索病毒好可恶，虽不和人类的病毒一样，但是肆虐起来，也是好吓人的。

如下资料来自 络搜索，简要给大家科普一下勒索病毒是怎么一回事。

{

勒索病毒

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、 页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。 2017年12月13日，“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。 2018年3月，国家互联 应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产和手机安全均造成严重威胁。

攻击对象

勒索病毒一般分两种攻击对象，一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。

病毒规律

该类型病毒的目标性强，主要以邮件为传播方式。

病毒分析

一般勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏

样本运行流程

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联 下载密钥即可实现对文件加密。

同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。

应对方案

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：

3、读取远程服务器文件；

4、收集计算机信息；

5、遍历文件；

6、调用加密算法库。

为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

3、需要的软件从正规（官 ）途径下载，不要双击打开.js、.vbs等后缀名文件；

4、升级到最新的防病毒等安全特征库；

5、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；

6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。

//案例省略

}

我一边安慰客户，一边让他们将一个月之前的备用电脑安装起来，再重新给远程处理。总算消停点了，起码可以进行生产了。

吃一堑，长一智。上一个客户，中病毒之后，他们公司的信息中心外 上加载了多道防护，杀毒软件，不让无关人员随意访问外 电脑，做到层级防护，每道访问均留痕迹，对重要数据，实时备份，及时转出。确保生产数据万无一失。

这病毒也是够猖狂的啊，这才几天，又来一出。看来， 络安全问题是每个单位都需要引起重视的了。这涉及到单位或者个人的数据，和财务运营有关啊。

真诚地提醒单位和个人，加强个人电脑或者单位电脑、手机等的安全防护，及时安装病毒查杀软件，定期进行计算机病毒扫描。此外，加强文档的备份，对重要文件应采取多种备份方式（U盘、 盘、邮箱等）。

友友们，如果刷到此文，请务必注意自己的电脑，手机等上 设备，安装杀毒软件，防止非法软件或者病毒的侵袭，外来不明软件看不懂的，不要乱点击运行，确保安全后才可以运行。务必做好防护，保护好自己的文档，保证自己的数据安全奥。

图2：个人电脑

图3：用户电脑