山石网科支持对“Locky”勒索软件的检测和防御

2月19日，德国媒体报道一款名为“Locky”的勒索软件正在以每小时5300台的速度感染德国的计算机系统。很快，“Locky”被发现已经蔓延到包括德国、荷兰、美国在内的十几个国家。我国的国家计算机病毒应急处理中心（CVERC）在最近一期的病毒预报中也对这一恶意程序进行了披露，在网络论坛和朋友圈里也开始陆续出现国内用户中招的消息。

山石网科的客服团队也接到不少客户对“Locky”问题的咨询，我们在这里整理了相关问题，供大家参考。

Q：什么是勒索软件（Ransomware）？

A：勒索软件是一种恶意软件，犯罪分子未经您的同意安装在您的计算机中。通过勒索软件，犯罪分子能够远程锁定您的计算机，并通过弹窗等方式警告您的计算机已被锁定，并声称如果不付款，您将不能继续使用计算机。勒索软件一般通过电子邮件中的恶意附件、社交软件和网站中的恶意链接等形式进行传播。

Q：“Locky”勒索软件如何执行？

A：“Locky”勒索软件的执行可以分为传播、锁定用户文件、勒索三个步骤：

1. 传播：目前发现的“Locky”恶意代码主要是通过电子邮件附件传播的。恶意代码通过Office VBA宏来启动。当受害者打开Word文档并运行宏代码后，主机会主动连接到指定的Web服务器，下载“Locky”恶意软件到本地Temp目录下强制执行。

2. 锁定：“Locky”勒索软件通过RSA-2048和AES-128加密的方式对用户文件进行锁定。“Locky”会从C&C服务器自动下载加密公钥，遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件。根据客户机磁盘容量和文件数量的不同，锁定操作可能耗时几分钟乃至数小时。可被感染的文件类型包括：

.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

3. 勒索：完成对客户文件的加密后，“Locky”会生成勒索提示文件，弹窗给用户要求支付赎金。有意思的是，其勒索内容为比特币主动防御软件，而非现金或者转账，这也是其幕后黑手难于被追踪的原因。最新版本的“Locky”已经支持简体中文的勒索界面，甚至给出详细的购买比特币的方法。实际上，“Locky”是首例被确认的具有中文提示的比特币勒索软件。

Q：如何防范“Locky”恶意软件？

A：“Locky”被执行之后虽然会造成很大的影响，但由于其传播方式、代码的执行方式都是比较原始的，只要做好防范措施，还是比较容易规避的：

1. “Locky”主要通过邮件附件传播，对于接收到的陌生邮件的附件，不要随意打开。

2. 恶意代码执行的关键一步是宏代码的手动启用。多数Office软件默认是不运行宏代码的，在遇到带宏代码的文档时，需要用户手动启用。因此对于来历不明的Office软件，不要启用宏。

3. 提前备份你的数据到外部存储。

Q：在山石网科产品上如何配置对“Locky”恶意软件进行检测和防御？

A：目前山石网科的S系列网络入侵防御系统（NIPS）、下一代防火墙（NGFW）、X系列数据中心防护平台、T系列智能下一代防火墙（iNGFW）,以及虚拟化云安全产品山石云?界，都可以实现对“Locky” 勒索软件的检测和防御。在上述产品中，开启病毒过滤功能并更新病毒库到最新版本，开启对HTTP、SMTP等协议的安全检查，即可在网络边界对“Locky”恶意代码进行检测和阻断，保护生产网络和办公网络的安全。

关于山石网科

山石网科是中国信息安全行业的领军企业，自2006年成立以来即专注于网络安全领域前沿技术的创新，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。山石网科的业务涵盖下一代防火墙、虚拟云安全、应用安全以及专业安全服务，为来自政府、金融、运营商、互联网、教育等行业的超过12000家客户提供高效、稳定的安全防护。山石网科在中国北京、苏州和美国硅谷均设有研发和技术支持中心，业务版图已经覆盖了全球17个国家。

山石网科解决方案独特价值

全方位、更智能、零打扰

关注山石网科官方微信了解最新动态

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!