• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:401

重點摘要：
1.發現新型勒索軟體“Locky”使用綁架用戶資料的方法對用戶進行敲詐勒索。它通過RSA-2048和AES-128
算法對100多種文件類型進行加密，同時在每個存在加密文件的目錄下釋放一個名為
_Locky_recover_instructions.txt的勒索提示文件。
2.主要入侵手法有二：1.垃圾郵件夾帶Word文件以誘騙使用者開啟巨集功能。2.惡意網頁連結。
3.Locky惡意樣本的本地行為：複製自身到系統臨時目錄%Temp%下，並重新命名為svchost，接著對系統中
的文件進行遍歷，判斷文件後綴名是否在樣本內置的列表中，若存在，則對樣本進行加密操作；在多個文
件夾中創建提示文件_Locky_recover_instructions.txt；在桌面上創建文件
_Locky_recover_instructions.bmp；並將該文件設置為桌面背景，提示用戶如何操作可以成功恢復被加
密的文件；添加相關註冊表鍵值；刪除系統還原快照。
●TWCERT/CC提醒用戶，即使支付贖金也不一定能保證可以完全恢復被加密的文件。要防止資料被加密，
更應該注意勒索軟體的防禦，養成良好的上網使用習慣，不要輕易點選來歷不明的文件與網路連結。

攻擊手法： 1.垃圾郵件夾帶word誘騙執行以開啟巨集功能2.惡意網頁連結

參考連結： http://canon-its.jp/eset/malware_info/news/160218/