國家計算機病毒應急處理中心通過對互聯網的監測,發現一種名為Ouroboros的勒索軟件在我國湖北、山東等地通過垃圾郵件傳播,感染了醫療和電力系統的計算機。Ouroboros勒索病毒首次出現於2019年8月中旬,目前發現其主要通過垃圾郵件渠道傳播,該病毒加密文件後會添加.Lazarus擴展後綴。目前該勒索軟件無法被解密。
Ouroboros勒索軟件通過垃圾郵件進行傳播,使用加殼程序進行偽裝,病毒運行後首先使用PowerShell命令行刪除卷影,部分樣本還會同時禁用任務管理器。該勒索病毒首先獲取本機的IP、磁盤信息、隨機生成的文件加密Key信息、使用的地址郵箱地址等信息,並將上述信息回傳至IP為176.31.68.30(位於法國)的命令控制服務器。隨後對服務器返回結果進行判斷是否正常,如果正常,則獲得加密秘鑰,否則將拷貝一個硬編碼密鑰進行備用。病毒同時會留下名為Read-Me-Now.txt的勒索說明文檔,要求聯繫指定郵箱購買解密工具。由於在該病毒基礎設施完善情況下,病毒攻擊過程中使密鑰獲取困難,因此目前無法解密。
針對該勒索軟件特點,建議我國重要信息系統和關鍵信息基礎設施用戶採取以下措施予以防範:
一是不輕易打開不明來歷的電子郵件和附件;
二是開啟安全防護軟件,並保持最新版本;
三是將重要資料進行不定期的非本地備份。
分享到:
閱讀更多 濟南網警巡查執法 的文章
關鍵字: 軟件 垃圾郵件 PowerShell
