1、传播方式:
能够经过社会工程,RDP爆破,恶意程序捆绑等方式进行传播
2、加密后缀名:
.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、
.ALC0、.ALC0二、.ALC0三、.RESERVE、.Ox4444等
3、感染特征:
一、加密文件目录下会存在HOW_TO_BACK_FILES.txt的勒索说明文件。
二、开机自启动,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
三、%LOCALAPPDATA%或%APPDATA%目录存在病毒复制体。
四、%PUBLIC%或%ALLUSERSPROFILE%变量路径存放密钥ID文件。
五、%temp%目录存在xxxxxxx.tmp.bat
4、加密方式:
RSA2048与RSA1024算法
5、.bat脚本功能
一、删除磁盘卷影
二、删除远程桌面链接信息
三、删除日志信息。
6、防御建议
一、及时给电脑打补丁,修复漏洞。
二、对重要的数据文件按期备份,且备份文件应与主机隔离。
三、更改帐户密码,设置强密码,避免使用统一的密码。
四、若是业务上无需使用RDP的,建议关闭RDP。对3389等端口进行封堵,防止扩散!
五、对非可信来源的邮件保持警戒,避免打开附件或点击邮件中的连接。算法