近日,瑞星通过网络安全监测系统国内,捕获到Gerber勒索病毒新变种“Gerber5”,该病毒运行后会对系统的“当前用户文件夹”中的所有文件进行加密,包括:图片、文档、视频等默认保存的文件,之后还会对所有磁盘进行加密,,弹窗提示用户支付赎金解锁文件,该病毒目前无法恢复。瑞星ESM及瑞星之剑等产品均可对该病毒进行防御和查杀,避免用户文件被病毒加密。
图:加密当前用户文件夹
图:勒索加密后弹出界面
图:瑞星ESM成功拦截截图
图:瑞星之剑成功拦截截图
瑞星安全专家介绍,这已不是瑞星第一次率先捕获,的勒索病毒,之所以可以第一时间发现主要源自于瑞星一直在勒索病毒领域的深耕。“WannaCry”全球爆发时,瑞星便开始了全面对抗勒索病毒的工作,并成功开发出了全球首创的勒索病毒解决方案——“瑞星之剑”,有效阻止已知与未知勒索病毒对用户电脑发起的攻击。
2018年11月23日,瑞星推出了“剑防勒索——防御勒索病毒专题”,实时更新瑞星,截获的勒索病毒及病毒分析报告。同时,根据勒索病毒的威胁数据判断威胁程度,对其进行一星到五星的,分类,并给出相应的防御技巧、解决方案等,尽可能地做到提前预警、积极防御,保护更多的个人和企业不受勒索病毒的侵害。
瑞星安全专家提醒广大用户,使用弱口令、不打补丁等方式就是在给攻击者敞开大门。因此除了安装杀毒软件之外,还要及时更新系统补丁,不使用弱口令密码,做好网络隔离,不断提高网络防御等级,才能够彻底避免遭受此类病毒攻击。目前,瑞星公司所有产品均可对其进行拦截。
病毒详细分析
病毒首先会获取用户文件夹路径
图:获取用户文件夹路径
遍历用户文件夹中的文件并加密
图:遍历用户文件夹
图:遍历文件加密
之后再遍历所有磁盘,遍历文件加密
图:遍历所有磁盘
加密时会排除Windows/Program Files/Program Files (x86) 目录,防止系统无法正常运行。
图:遍历文件加密
将原始文件名追加上后缀
图:修改文件后缀
,弹出勒索窗口,并将桌面背景设置为勒索信息
图:勒索界面
防范措施
1、不下载、打开可疑文件。
2、不打开可疑邮件附件,防止病毒通过钓鱼邮件植入。
3、及时更新系统补丁,防止病毒通过漏洞植入。
4、不使用弱口令账号密码,防止病毒通过弱口令植入。
5、安装杀毒软件,保持防御开启,拦截查杀病毒。
6、安装勒索防御软件,防止文件被加密。