亚信安全截获最新勒索软件变种

最近，亚信安全地屏蔽了最新的恐吓软件变体CryptXXX和Cerber。亚信安全将CryptXXX称为RANSOM_WALTRIX。命名为a。与以前不同，这种恐吓软件不仅通过用户访问恶意网站加密多种类型的文件，还窃取系统中的特定程序信息。

Cerber病毒加密后的文件扩展名为.cerber，其不但会加密文档文件，还会加密桌面及移动硬盘的数据，亚信安全将其检测为RANSOM_CERBER.A。

CryptXXX勒索软件执行流程

受害者访问恶意网站

下载加密勒索软件

勒索软件加密系统中的文件

CryptXXX勒索软件感染流程图

一CryptXXX勒索软件详细信息

该病毒通过访问恶意网址下载勒索软件导致系统中的文件被加密，被加密的文件扩展名为.crypt。

该病毒会在%All Users Profile%Application Data目录中生成{随机命名}.dat文件。

其会链接如下URL接收和发送信息

• {BLOCKED}.{BLOCKED}.42.68

其会加密如下扩展名文件

• .3dm .3ds .3g2 .3gp .7z .accdb .aes .ai .aif.apk .app .arc .asc .a

• .bat.bmp.brd.bz2.c.cer.c qlite3

• .dch.dcu.dds.dif.dip.djv.djvu.doc.docb.docm.docx.dot.do

• ..

• prf.priv.private.ps.psd.pspimage.py.qcow2.ra.rar.raw.rm.rss.rtf.sch.sdf.sh.sitx.sldx.slk.sln.sql.s

• .indd.jar.java.jks.j

• .mid.mkv.mml.mov.m

• o

• ..

• x

窃取如下程序信息

• FileZilla

• FTPRush

• VanDyke

• FTP Explorer

• SmartFTP

• TurboFTP

• FTPRush

• Ipswitch WS_FTP

• Far FTP

• Far2 FTP

• CuteFTP 7 Professional

• CuteFTP 8 Professional

• CuteFTP 8 Home

• CuteFTP 6 Professional

• CuteFTP 6 Home

• CuteFTP 7 Home

• Windows Commander

• Total Commander

• Bullet Proof FTP

• Bullet Proof FTP

• Sota FFFTP

• FTPWare COREFTP

• FTPClient

• So FTPClient

• Digsby

• MySpace

• Pidgin

• Trillian

• Google Talk

• Paltalk

• Windows Live Mail

• Scribe

• Outlook

• Outlook Express

• Internet Account Manager

勒索软件显示的加密勒索信息

一

目前建议采取的防护措施

1、亚信安全最新发布的中国区病毒码版本12.536.60已包含截止5月20日收到的所有变种，请及时更新病毒码；

2、不要随意访问未知网址，在访问之前可以先检查网站信誉；

3、注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；

4、亚信安全TDA & Deep Edge联动方案，当用户访问恶意网址时，可以有效阻止勒索软件下载，最大限度帮助用户防止勒索软件入侵；

5、使用防毒墙网络版(OfficeScan 11 SP1)和 Worry-Free 9.0 SP2，开启针对勒索软件（Ransomware）的行为阻止策略，如下图：

6、亚信安全IMSA，IMSS，DDEI，DE等邮件网关类产品，均可通过策略设置，最大限度的保护用户的数据安全；

7、SafeSync产品将用户桌面指定的文档同步至企业存储服务器中，备份若干历史版本，如果终端文档被加密，可通过SafeSync恢复历史版本的方式来实现加密文档的恢复。