【IT168 资讯】10月9日下午,瑞星发出紧急病毒警告:瑞星近日截获一类名为“Worm.Win32.CryptoLocker”的新型敲诈型蠕虫病毒,该病毒通过伪装企业电子邮件形式进行传播,一旦感染,电脑中的所有办公文件将被深度加密(AES加密算法),届时黑客会要求用户在72小时之内向其指定账户支付300美元作为解锁费用,否则就销毁解锁密钥,导致重要文件永久性无法恢复甚至泄露的严重安全事故。
截至发稿时,瑞星已经对杀毒软件进行了紧急升级,广大用户(含全部瑞星企业级用户)将杀毒软件更新至最新版本,即可拦截该类病毒。同时,瑞星安全专家为用户提供了紧急手动防御方案,用户通过添加瑞星主动防御规则即可有效拦截该类病毒新变种的危害。对于已经出现文档被加密的问题,瑞星安全专家团队正在紧张研究解密方法,广大用户一旦出现此类问题可以及时跟瑞星保持沟通,并关注瑞星后续发布的相关信息。
瑞星安全专家介绍,由于被感染的电脑数量在国内开始快速增长,近期请广大用户,尤其是企业用户做好以下防护措施:
1. 警惕陌生人发来的电子邮件,不要打开邮件附件中的压缩包或者应用程序;如果必须要打开,请先对附件进行病毒扫描。
2. 安装专业的杀毒软件,在打开所有邮件附件之前先进行杀毒。同时为避免内网交叉感染,企业用户应尽快安装杀毒软件。除此之外,用户可以使用瑞星杀毒软件(V16及网络版皆可)的主动防御功能,添加新规则,禁止创建、访问、修改以下注册表键:HKEY_CURRENT_USER\Software\CryptoLocker,阻止Worm.Win32.CryptoLocker的正常运行。
3. 瑞星安全专家建议已经中毒的用户暂时不要重装系统,以免注册表中的加密文件信息丢失。
4、及时、定期将电脑中重要文件进行安全备份,避免出现意外。
▲图1:病毒发作以后的电脑截图
瑞星安全专家介绍,采用此类方式进行敲诈的病毒已经存在很久并多见于欧美国家,此前国内也曾有零星发作,但本次爆发的Worm.Win32.CryptoLocker病毒已经开始侵袭国内企业用户。目前,已有部分用户向瑞星公司咨询了相关问题。据介绍,该病毒依靠电子邮件传播,甚至会伪装成企业邮箱进行发送,受害者通常都会接到一封英文电子邮件,该邮件的附件就是病毒程序,一旦用户点击运行,电脑将立刻中毒。
图2:带毒邮件截图
目前,瑞星杀毒软件网络版及瑞星杀毒软件V16都可对该病毒进行查杀,同时,瑞星反病毒实验室及瑞星数据恢复中心正在紧急研究解密方法,以便帮助用户恢复被锁定的文件。
图3:瑞星杀毒软件网络版及瑞星杀毒软件V16查杀CryptoLocker病毒