恶性敲诈病毒新变种蔓延360独家发布应对策略

近日，360企业安全宣布，针对近期愈演愈烈的敲诈者病毒潮，360天擎已经开发了针对此类敲诈者病毒的文档保护功能。用户只要开启360天擎的实时防护功能，同时开启云安全查杀功能，并及时升级特征库，就可以有效防范这款家族名为“Locky”的敲诈者病毒。据360威胁情报中心披露，自2016年2月以来，该中心监测到一大波针对中国用户的敲诈者病毒潮，国内有数家大型机构陆续受到冲击。其中国内某央企一周内连续三次中招，所安装的某国外安全软件无法防御，最终导致该企业部分终端用户中招，给该机构造成不可逆的严重损失。
据介绍，Locky敲诈者病毒以邮件的形式进行传播。近期中招的国内企业，其邮件服务器中发现大量主题带有Invoice或Payment字样的邮件（邮件附件主要有两种形式:带invoice字样的doc或.docm文档;附件为.zip文件，解压后有1至2个js文件）。一旦用户打开邮件携带的恶意附件就会中招，令电脑内的重要文件被病毒“上锁”。由于病毒对文档采用RSA等高强度非对称加密，一旦中招就无法恢复，除非给黑客交赎金购买解密密钥。

带有敲诈者病毒的邮件

Locky敲诈者病毒攻击流程

黑客向受害者邮箱发送带有恶意脚本的.doc或.docm文档，或者附件为.zip的JS文件，这些文件中包含有黑客精心构造的恶意脚本，受害者打开带毒文件后，恶意脚本会主动连接黑客控制的服务器，下载并执行locky恶意程序，并连接黑客C&C服务器上传本机信息，下载加密公钥，然后遍历本地所有磁盘中的Office文档、图片等文件，对这些文件进行加密，加密完成后生成勒索提示文件，并将桌面设置为指导用户缴纳赎金示意图。

指导用户缴纳赎金示意图

360发布独家防御措施：在恶性敲诈病毒变种爆发之际，360特别提醒用户，360安全卫士、360天擎对敲诈者病毒一直都能够进行防护和查杀。用户需要开启杀毒功能，并及时更新，确保企业免受敲诈者病毒侵害。
360对企业用户建议五大防护措施：

1. 不要轻易打开陌生人的邮件，特别是主题和附件包含Payment、Invoice字样的邮件；
2. 可以部署360云桌面，实现集中维护，彻底避免此类攻击；
3. 开启安全软件的实时防护功能，同时开启云安全查杀功能，并及时升级特征库；
4. 开启360天擎针对敲诈者病毒开发的文档保护功能，主动阻止恶意加密文档和图片的行为；