國人打國人系列-FilesLocker新勒索病毒

Twitter 用戶 MalwareHunterTeam 於十月發現最新勒索軟件 FilesLocker，主要語言只有中文及英文。

                               
登錄/註冊後可看大圖

FilesLocker 勒索軟件中英文版本

初初大家都不以為然，覺得 FilesLocker 傳播影響力不大。但不知短短五日時間內，FilesLocker 已經發展成勒索軟件服務（Ransomware-as-a-Service，RaaS），並在中國黑客和惡意程式論壇上招募隊友。加入團隊可獲贖金 60% 收入分成，傭金仲高達 75%。要求成員有傳播 malware 經驗，每日最少要感染 10 人，而且不準將FilesLocker 上傳到大型防毒掃描服務（oops）。

                               
登錄/註冊後可看大圖

FilesLocker 在中國暗網論壇上發佈合作計劃

RaaS 聲稱擁有眾多功能，例如追蹤、個人化、強加密、清除磁碟區陰影複製（Volume Shadow Copy）等等。並會鎖定特定文件夾，例如 Desktop、Documents、Music、Picture，使用「.locked」extension。加密後，就會在用戶電腦創建一個 #解密我的文件# .txt 指導用戶交贖金。

技术分析

                               
登錄/註冊後可看大圖

病毒原始文件名：Windows Update.exe

病毒運行後會初始化文件加密Key，加密的部分文件目錄和要加密文件擴展名。病毒加密文件類型包含了常見的各類型文檔，圖片，視頻，音頻，數據存儲文件類型。對指定的部分系統文檔目錄進行深層遍歷文件加密、獲取各磁盤驅動器進行目錄，文件遍歷，並白名單排除系統根目錄的深層遍歷對遍歷到文件判斷為有效擴展後綴後，進行文件加密文件加密使用AES算法，加密完成後會添加.locked擴展後綴，強隨機生成的AES文件加密Key文件加密Key使用RSA算法加密後保存為用戶ID，無法拿到RSA私鑰情況下，無法進行文件解密加密文件完成後，隱藏窗口模式命令行執行cmd刪除系統卷影信息。

                               
登錄/註冊後可看大圖

病毒会留下中英两种语言的勒索信息提示文件

                               
登錄/註冊後可看大圖

并打开指定的网页，页面提示中美两种语言的勒索提示信息

                               
登錄/註冊後可看大圖

勒索病毒显示窗口展示勒索信息，勒索0.18比特币，约700美元。

一旦该病毒获得到足够多的传播渠道，极有可能为个人和企业的数据安全带来极大的隐患

看出來了嗎?

資料來源:

www.freebuf.com/

及

wepro180.com/tech-news

看了版大的報導真是令人震驚!這些人真是該死"挾技殺人"無法無天○同時也在這祝賀榮升版主^_^

以前中過一次,當時約台幣20000以內,現在也太貴了吧,害我怕檔案都刪光了.

之前也中過伊莉的勒索病毒
結果存了好幾年的資料與回憶只能忍痛刪掉了
弄出勒索病毒的人實在太惡劣

冒昧請教一下
那這樣的話防毒軟體要如何選擇？
市面上那麼多標榜免費的，如小紅傘、AVG、卡巴等等
都無法偵測到嗎？
還是真的得付錢買付費版才能有保障？