WinRAR 高危漏洞预警 全球数亿计算机
腾讯平安御见威胁情报中心监测发现,一款名为Gorgon勒索病毒在国内流传,现在已经熏染了几家政企单位。经分析发现,Gorgon病毒实际上是通过稍微改变的FilesLocker勒索病毒换肤版。FilesLocker病毒最早起源于2018年10月,专门针对政府部门、企事业单位进行攻击。它一出现,就雄心勃勃地招募代理来规模化、产业化钻井。Gorgon病毒很可能是其下线之一。
有三个名字叫希腊古典神话Gorgon(蛇发女妖)恐怖女妖。他们有翅膀和尖牙,可以把直视眼睛的人变成石头,这让无数的生物受到毒害。这种恐怖女妖不仅存在于神话中,还出现在病毒木马世界。
近日,腾讯平安御见威胁情报中心监测发现一款名为Gorgon勒索病毒在国内流传,现在已经熏染了几家政企单位。经分析发现,Gorgon病毒实际上是通过稍微改变的FilesLocker勒索病毒换肤版本。FilesLocker病毒最早泛起2018年10月,专门针对政府部门、企事业单位进行攻击,一出现就雄心勃勃地招募代理来规模化、产业化钻营,这次Gorgon病毒很可能是其下线之一。
(图:Gorgon病毒勒索提醒页)
通过分析捕获的病毒样本,腾讯平安工艺专家发现,Gorgon蛇发女妖的图标用于病毒在勒索界面的显著位置。病毒作者似乎在说,只要他赢了Gorgon病毒,用户计算机系统将像蛇发女妖一样石化。FilesLocker一样,Gorgon险些可以加密包罗Office、各种常见类型的文件模式,如数据库、源程序、音频、视频、压缩文件等。
而与FilesLocker与之前的版本相比,这次Gorgon病毒UI在和平方面做出了显著的优化。UI在这方面,犯罪分子将释放桌面勒索提醒文件FilesLocker版本的txt变化为html,从只支持中英双语升级到支持中英韩三种语言,勒索说明也加倍详细;此外,还增加了新的Winlogon系统登录项目,以便在启动上岸界面向用户显示勒索信息。在安全性方面,新代码混淆效果,增加解密难度;此外Gorgon用于勒索加密的改变RSA公钥导致原病毒作者释放解密RSA私钥将不再适用于当前病毒版本的解密。
2018年难缠的顽固病毒木马
(图:经Gorgon病毒修改后的桌面壁纸)
此勒索病毒命名Gorgon曾经让平安工作人员非常小心,因为平安界有一个来自巴基斯坦的著名专业黑客组织——Gorgon Group。该组织主要攻击来自世界各地的外贸人士,包括英国、西班牙、俄罗斯和美国的政治商业组织和成员。只要勒索病毒被命名为Gorgon,腾讯平安工艺专家没有发现Gorgon Group组织之间有任何联系。
为珍爱用户免受Gorgon腾讯平安反病毒实验室负责人、腾讯计算机管家平安专家马劲松提醒企业网络管理,只关闭不必要的文件共享和端口,定期非内陆备份重要文件和数据;接受高强度密码,器没有互联网需求/响应控制设置在工作站内;/专业的安全防护软件部署在服务器上,Web服务器可以考虑部署腾讯云等具有专业安全防护能力的云服务;建议在整个网络上安装皇家终端安全管理系统,以便企业管理者能够充分理解、管理企业内部网络的安全状态,珍惜企业的安全。个人用户可以使用腾讯计算机管家珍惜系统。
(图:腾讯电脑管家阻止病毒下载)
此外,只要病毒主要针对政府和企业用户,个人用户就不能放松和小心。马金松建议广大个人用户实时打开腾讯计算机管家等主流安全软件,以加强保护。目前,腾讯计算机管家推出的文档保护功能可以行使磁盘冗余空间备份数据文件,帮助广大用户在文件被勒索病毒损坏时快速恢复文档。
腾讯安全预警:WinRAR38个压缩软件存在高风险漏洞