ERIS勒索病毒变种在我国境内传播
日期:2019/9/2 16:46:19 来源:国家计算机病毒应急处理中心 作者:国家计算机病毒应急处理中心 阅读:446次
2019年8月8日,我国腾讯公司发布报告称,一种名为ERIS的勒索病毒变种在我国通过垃圾邮件和LordEK漏洞利用工具包传播。目前该勒索软件还没有解密工具,对我国政企机构存在潜在影响。ERIS的勒索病毒变种使用GO语言编写,通过垃圾邮件和LordEK漏洞利用工具包进行传播,进入目标系统后,首先会获取本地机器环境信息,然后病毒运行后首先会生成一对RSA密钥,私钥Base64编码后同获取的本地机器环境信息一并进行json格式化,格式化后的json数据则使用随机生成密钥的RC4算法加密。文件加密前会遍历当前系统进程,包含sql,backup,malware,server,http,apache,agent关键词则将其结束,然后调用CMD结束指定进程,删除系统备份卷影信息,并禁止Windows进入恢复模式。最后对每个文件生成单独的salsa20密钥对文件进行加密,由于对应的RSA私钥被加密后无法解密,故不缴纳赎金情况被加密文件无法解密恢复。病毒留下的勒索信要求到指定地址使用比特币购买解密工具。此次发现的样本勒索0.05个比特币,约价值4000人民币。如果一个月不支付赎金,文件将永远无法恢复。ERIS勒索病毒首次出现于2019年5月,加密文件完成后会添加ERIS扩展后缀因此得名。针对该恶意程序特点,建议用户采取以下措施予以防范,一是不轻易打开未知来源的电子邮件及其附件;二是及时安装操作系统和应用软件的安全更新程序;三是定期更换密码,避免使用弱口令;四是保持安全软件开启,并更新为最新版本;五是定期对重要数据做好离线备份。
更新日期:2019/9/2 16:46:19