近日，瑞星“云安适”系统截获一种新型敲诈病毒，该病毒加密文件高达1054种，文件统一加密为.encrypted格局，进而勒索赎金1比特币(约人民币4500元)。如果用户没有在规按时间内向黑客付款，被加密的文件将永远无法恢复。目前，瑞星杀毒软件、瑞星企业终端安适打点系统软件等小我私家及企业安适产品均可对该病毒进行查杀。

图：勒索提示信息

瑞星安适专家建议：

1、按期备份系统与重要文件，并离线存储独立设备;

2、使用专业的电子邮件与网络安适工具，可分析邮件附件、网页、文件是否包孕恶意软件，带有沙箱成果;

3、使用专业的反病毒软件、防护系统，并及时更新;

4、不打开可疑邮件、可疑网站和可疑链接;

5、经常给操纵系统、设备及第三方软件更新缝隙补丁;

6、不访谒和使用来路不明的网络共享和移动介质;

7、设置网络安适断绝区，确保即使传染也不会等闲扩散;

8、针对BYOD设置同样或更高级另外安适计谋;

9、加强员工(用户)安适意识培训，不要等闲下载文件、邮件附件或邮件中的不明链接;

10、发明可疑文件及时上报病毒中心。

接下来，瑞星专家将对这种新型敲诈病毒的运行流程进行全面分析：

首先，病毒会解密出后续要用到的一些数据，如：要加密的文件类型、加密后文件的扩展名、勒索提示信息等。

图：部分文件类型

然后，病毒开始检测运行环境是否为虚拟环境，也就是检测环境中是否有VBoxService.exe、vmtoolsd.exe、wireshark.exe、Ollydbg.exe等进程存在，运行环境是否为VirtualBox、VMWare 、Virtual_pc、Anubis等，如果检测出“是”，则病毒进程直接退出不再执行加密操纵。此行为是病毒作者为了反调试进行的设计，目的是给病毒分析制造困难。

图：病毒检测运行环境

查抄注册表HKEY_CURRENT_USER\Software\Globe\idle 的键值是否为 “YES”，如果是暗示已经传染过本机，则病毒进程直接退出不再执行加密操纵。

图：病毒检测注册表

使用mshta.exe执行JavaScript脚本添加自启动。

图：病毒添加自启动

删除系统还原备份 、封锁系统自修复选项、使中毒的用户无法使用系统还原点还原。

图：删除系统还原备份

使用QueryPerformanceCounter函数生成随机值，并用此随机值初始化加密算法。

图：初始化加密算法

接下来遍历本地磁盘 、共享文件夹等加密种种文件、并在目录下释放勒索提示文档How to restore files.hta

图：被加密后的文件和勒索文档

改削注册表变动桌面配景

图：病毒变动后的桌面

最后，设置勒索信息自启动项，使每次开机城市弹出勒索提示信息，并做好标识，暗示这台机器已被传染过。