专门加密受害者电脑文件、从而勒索钱财的敲诈者类病毒一直阴魂不散，CryptoLocker就是其中比较活跃的一个家族。近期在各大论坛和贴吧、知道等网络社区上，有不少网友求助说自己电脑的重要文档和图片变成了“.aaa”后缀文件，经过360QVM团队跟踪分析，这是CryptoLocker敲诈者病毒的最新变种作祟。

    该病毒变种会永久破坏电脑中的原始文件，并且用RSA-2048加密文件，如果中招，短期内基本无法解密文件。病毒幕后黑手以此向受害者勒索500美元，如果在指定时间未支付，赎金还要加倍，否则很难恢复被加密的文件。

    针对敲诈者类病毒，360安全卫士已独家推出免疫功能——“文档图片防护”，可以全面拦截此类病毒的加密破坏行为。另外根据在线杀毒扫描平台VirusTotal检测，360是国内唯一能检出CryptoLocker病毒最新变种的安全产品。

    病毒样本分析

    1、自我拷贝到临时目录，固定+随机字符串命名自身，删除原病毒。

    2、修改注册表设置自启动，启动项是一组随机加密密钥

    不同时间启动项不同

    3、删除文件卷影副本，使得文件无法通过vssamin恢复

    4、加密指定类型文件

    病毒加密的文件主要包括如下类型，几乎覆盖所有重要文件资料的后缀名:

    .pef.srw.x3f.der.cer.crt.pem.odt.ods.odp.odm.odc.odb.doc.docx.kdc.mef.mrw.ref.nrw.orf.raw.rwl

    .rw2.mdf.dbf.psd.pdd.pdf.eps.jpg.jpe.dng.3fr.arw.srf.sr2.bay.crw.cr2.dcr.ai.indd.cdr.erf.bar

    .hkx.raf.rof.dba.db0.kdb.mpq.vfs0.mcm.eta.m2.lrf.vpp.ff.cfr.snx.lvl.arc.ntl.fsh.itdb.itl

    .mddata.sidd.sidn.bkf.qic.bkp.bc7.bc6.pkpass.tax.gdb.qdf.t12.t13.ibank.sum.sie.zip.w3x

    .rim.psk.tor.vpk.iwd.kf.mlx .fpk.dazip.vtf.vcf.esm.blob.dmp.layout.menu.ncf.sid.sis

    .ztmp.vdf.mov.fos.sb.itm.wmo.map.wmo.svg.cas.gho.syncdb.mdb.ackup.hkdb.hplg.hvpl.icxs

    .docm.wps.xls.xlsx.xlsm.xlk.ppt.pptx.pptm.mdb.accdb.pst.dwg.xf.dxg.wpd.rtf.wb2.pfx.p12

    .p7b.p7c.txt.jpeg.png.rb.css.js.flv.m3u.py.desc.xxx.wotreplay.big.pak

[page]    5、提示受害者打开指定网站，向其勒索支付赎金来恢复文件

    受害者打开指定网站之后的提示：

    受害者如想恢复被加密的文件，需要在指定时间内支付500美元，如果不及时支付，病毒索要的赎金则会翻倍为1000美元。

    由于病毒网站使用暗网连接进行敲诈，很难定位到病毒幕后黑手。一旦中招将损失巨大，必须以预防为主。

    敲诈者病毒的防御措施

    1、定期备份重要文件;

    2、操作系统和IE、Flash等常用软件及时打好补丁，以免病毒利用漏洞自动入侵电脑;

    3、不轻易打开陌生人发来的可疑文件和邮件附件;

    4、360安全卫士已独家推出免疫敲诈者病毒的防护功能——“文档图片防护”，可以全面拦截此类病毒的加密破坏行为。

    根据在线杀毒扫描平台VirusTotal检测，全球仅两款杀毒软件能够检出此CryptoLocker敲诈者病毒的最新变种，360是国内唯一能检出该病毒的安全产品。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。