最近，瑞星安全专家已经捕获了一个具有不良影响的高度破坏性勒索软件LockerGoga。它不仅设置开机密码，还加密计算机上的文件。由于加密文件包含重要的系统文件，因此在关闭或重新启动计算机后无法访问系统。即使用户重新安装系统，也无法恢复重要文件。
计算机加密后无法重新启动视频：https://v.qq.com/x/page/l0859yz7fus.html
据媒体报道，大量外国公司遭到袭击，包括Norsk Hydro（亏损超过4000万），全球最大的铝供应商Hexion Specialty Chemicals，美国有机硅巨头Moto Group Momentive，Altran Technologies等。
不断上升的安全专家通过进一步的分析发现，LockerGoga勒索软件很危险，因为它不仅会加密文件，还会破坏操作系统。这种行为与常见的勒索软件非常不同，后者可以说是明显恶意的。攻击意图。
目前，根据瑞星的监测数据，尚未发现中国大规模的病毒攻击。安全专家提醒用户提前采取以下防御措施，以防止LockerGoga勒索病毒发起恶意攻击。
防御措施
不要下载从未知来源运行的软件。
提高在线安全意识并进行重要的数据备份。
及时安装系统补丁并设置复杂密码。
安装防病毒软件，保护打开，并杀死勒索软件。
安装勒索软件防御软件拦截勒索软件加密文件。
紧急措施
已中毒的计算机已与网络断开连接，以防止感染其他计算机。
已中毒的机器已重新安装。
安装无毒机器以杀死软。
Un poisoned机器安装了Rising sword，勒索防御软件。
没有中毒的机器及时备份重要文件。
病毒分析
1.无参数处理
（1）授权Windows进程。
图：流程赋权
（2）将病毒程序移动到C: \ Users \ Administrator \ AppData \ Local \ Temp目录。重命名的名称是tgyturcXXXX.exe（XXXX是四个随机数）。图：移动目录
（3）使用命令行-m启动tgyturcXXXX.exe。此过程创建命令行为的多个子进程，即SM-tgytutrc -s。
图：创建流程
（4）在桌面上创建勒索软件“README_LOCKED.txt”。
图：勒索信息
图：勒索信的内容
2.带参数的父进程 -  m
（1）创建一个互斥'MX-tgytutrc'。
图：互斥体
（2）遍历磁盘文件。
图：遍历磁盘
（3）创建命令行参数是i SM-tgytutrc -s的子进程，并始终监视子进程的状态，如果子进程意外关闭，则使用此参数重新创建子进程。
图：创建流程
第三，使用参数i SM-tgytutrc -s的子进程
（1）打开父进程创建的互斥锁'MX-tgytutrc'。如果互斥锁不存在，则子进程将退出。
图：打开互斥锁
（2）子进程获取父进程发送的base64加密文件的路径，并用base64解密，得到待加密的文件路径。
图：获取路径
（3）base64解码获得RSA公钥。
图：RSA公钥
（4）加密文件，在文件名后附加“.locked”。加密算法使用AES算法加密。 AES密钥由RSA公钥随机生成和加密，并附加到加密文件的末尾。
图：加密文件
（5）加密文件类型除了以下内容外还加密大量其他文件，C: \ Boot文件夹中的文件都是加密的，可以多次加密。
图：加密文件类型
图：C: \ Boot
4.其他阶段
勒索软件病毒破坏了系统文件，导致计算机无法重新启动。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 网络层协议划分VLAN，你会用吗？

• 分享到：