【IT168 评论】近日，勒索软件“Locky”重出江湖，魔掌正在伸向企业级用户。2月17日，网康就接到某金融集团客户反馈，部分员工电脑中的重要资料及其内网服务器中的共享资料均出现无法打开的情况。经网康安全服务小组轩辕团队分析，确认是中了勒索软件Locky。在随后的一个多月，反馈此类问题的客户越来越多，均为勒索软件及其变种，这些安全问题给个人和企业带来了严重的损失。通过总结分析，所有中招的客户都存在以下几个步骤：

　　1、企业员工收到钓鱼邮件

　　2、打开邮件附件后，本机资料被恶意加密，无法打开

　　3、在中招用户桌面上弹出勒索提示信息

　　4、用户若想恢复数据，只能向攻击者缴纳赎金

　　通过网康的威胁情报分析平台，发现此次Locky勒索软件来势汹汹，愈演愈烈，那么这些勒索软件到底是什么来路?对客户究竟产生多大的危害?攻击过程和解决之道又是怎么样的呢?

　　Locky勒索软件是何方“妖魔”?

　　Locky是一类针对Windows操作系统进行攻击的勒索软件，主要通过钓鱼邮件传播，只要被点击运行，便会对电脑本地及共享的文件进行加密，一旦中招就无法恢复，除非给黑客缴纳赎金才能解密文件。

　　而且此次勒索事件与以往“国外中招，中国躺枪”不同，犯罪集团的矛头开始直接指向中国用户，是首例具有“中文”提示的比特币勒索软件，据报道很多这样勒索软件攻击事件已经发生在身边。

　　【Locky病毒攻击流程】

　　1、黑客通过钓鱼邮件的方式发送恶意脚本，引诱用户打开

　　2、用户一旦打开附件，恶意脚本就会下载并运行“Locky”勒索软件

　　3、"Locky”运行后会主动连接C&C，获取加密文件的公钥

　　4、"Locky”遍历本地及共享的关键文件，对这些文件进行加密

　　5、加密完成后，更改桌面背景，并弹出勒索信息提示框，要求付费解密

　　6、最后“Locky”会自行删除，以躲避查杀和分析

　　【网康云管端立体安全解决方案】

　　目前，针对Locky业内攻击尚未有彻底解决之道。基于杀毒软件和网络设备的传统单点解决方案，由于受限于样本的多样化和特征库的更新速度，无法及时检测和阻断。而勒索软件一旦中招，加密文件就无法恢复。而网康提出的“云管端”立体解决方案，从恶意脚本传播、运行、破坏几个关键步骤提前进行立体防护。蛇打七寸，针对Locky攻击几个关键步骤，网康轩辕团队提出了针对性的解决方案。

　　传播阶段，NGFW将Locky扼杀于摇篮中

　　网康NGFW基于行为和内容的深度分析，可识别压缩后的恶意脚本，阻止Locky恶意脚本的传播。

　　运行阶段，天擎终端让Locky无的放矢

　　通过在终端安装天擎客户端，实时的对终端进行安全防护，可以有效防范Locky家族的勒索软件。

　　破坏阶段，网康慧眼云使Locky功亏一篑

　　基于网康慧眼云的威胁情报平台，能识别出Locky的通信行为，通过与NGFW的协同防御，实时阻断“Locky”与C&C服务器的通信，使其无法获得加密公钥，丧失加密能力，保障了关键文件的安全。

　　通过网康云管端立体解决方案，可以大大减少Locky家族勒索软件的传播，将危害降到最低。

　　同时，网康安全专家也提示，除了通过各种安全措施提升安全防护能力，更多的是需要提升自身安全意识!