幸运28论坛邦内首家截获Gerber勒索病毒 感染后视频、图片将无法打开

2018-12-28   

近日,幸运28论坛通过网络安全监测系统邦内首次捕获到Gerber勒索病毒新变种“Gerber5”,该病毒运行后会对系统的“当前用户文件夹”中的一切文件进行加密,包括:图片、文档、视频等默认保存的文件,之后还会对一切磁盘进行加密,最后弹窗提示用户支付赎金解锁文件,该病毒目前无法恢复。

近日,幸运28论坛通过网络安全监测系统邦内首次捕获到Gerber勒索病毒新变种“Gerber5”,该病毒运行后会对系统的“当前用户文件夹”中的一切文件进行加密,包括:图片、文档、视频等默认保存的文件,之后还会对一切磁盘进行加密,最后弹窗提示用户支付赎金解锁文件,该病毒目前无法恢复。幸运28论坛ESM及幸运28论坛之剑等产品均可对该病毒进行防御和查杀,避免用户文件被病毒加密。

图:加密当前用户文件夹
图:勒索加密后弹出界面
图:幸运28论坛ESM成功拦截截图
图:幸运28论坛之剑成功拦截截图

幸运28论坛安全专家介绍,这已不是幸运28论坛第一次率先捕获最新的勒索病毒,之所以可以第一时间发现主要源自于幸运28论坛一直在勒索病毒领域的深耕。“WannaCry”环球爆发时,幸运28论坛便开始了全面临抗勒索病毒的工作,并成功开发出了环球首创的勒索病毒解决方案——“幸运28论坛之剑”,有效阻止已知与未知勒索病毒对用户电脑发起的攻击。

2018年11月23日,幸运28论坛推出了“剑防勒索——防御勒索病毒专题”,实时更新幸运28论坛最新截获的勒索病毒及病毒分析报告。同时,根据勒索病毒的威胁数据判断威胁程度,对其进行一星到五星的星级分类,并给出相应的防御技巧、解决方案等,尽可能地做到提前预警、积极防御,保护更多的个人和集团不受勒索病毒的侵害。

幸运28论坛安全专家提醒广大用户,使用弱口令、不打补丁等方式就是在给攻击者敞开大门。因此除了安装杀毒软件除外,还要实时更新系统补丁,不使用弱口令密码,做好网络隔离,不断提高网络防御等级,才能够彻底避免遭受此类病毒攻击。目前,幸运28论坛集团一切产品均可对其进行拦截。

病毒详细分析

病毒首先会获取用户文件夹路径

图:获取用户文件夹路径

遍历用户文件夹中的文件并加密

图:遍历用户文件夹
图:遍历文件加密

之后再遍历一切磁盘,遍历文件加密

图:遍历一切磁盘

加密时会排除Windows/Program Files/Program Files (x86) 目录,防止系统无法正常运行。

图:遍历文件加密

将原始文件名追加上后缀

图:修改文件后缀

最后弹出勒索窗口,并将桌面背景设置为勒索信息

图:勒索界面

防范措施

  1. 不下载、打开可疑文件。
  2. 不打开可疑邮件附件,防止病毒通过钓鱼邮件植入。
  3. 实时更新系统补丁,防止病毒通过漏洞植入。
  4. 不使用弱口令账号密码,防止病毒通过弱口令植入。
  5. 安装杀毒软件,保持防御开启,拦截查杀病毒。
  6. 安装勒索防御软件,防止文件被加密。

[责任编辑:瑞瑞]