一、传播方式:
可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播
二、加密后缀名:
.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、
.ALC0、.ALC02、.ALC03、.RESERVE、.Ox4444等
三、感染特征:
1、加密文件目录下会存在HOW_TO_BACK_FILES.txt的勒索说明文件。
2、开机自启动,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
3、%LOCALAPPDATA%或%APPDATA%目录存在病毒复制体。
4、%PUBLIC%或%ALLUSERSPROFILE%变量路径存放密钥ID文件。
5、%temp%目录存在xxxxxxx.tmp.bat
四、加密方式:
RSA2048与RSA1024算法
五、.bat脚本功能
1、删除磁盘卷影
2、删除远程桌面连接信息
3、删除日志信息。
六、防护建议
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期备份,且备份文件应与主机隔离。
3、更改账户密码,设置强密码,避免使用统一的密码。
4、如果业务上无需使用RDP的,建议关闭RDP。对3389等端口进行封堵,防止扩散!
5、对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接。