川普已被玩坏：头像被敲诈病毒拿来恶搞

瑞星工程师

自第45任美国总统Donald Trump（音译：川普）上台以来，每天话题不断，无论从川普的言谈举止，还是从川普的周边产品，都极大的丰富了人们的日常生活。作为一个极富“个人魅力”的KOL，最近连敲诈病毒（TrumpLocker）都开始拿川普进行恶搞，当用户电脑中了这款敲诈病毒，桌面便会弹出一张川普挑逗的照片提示：”YOU ARE HACKED！！（你被黑了）”



瑞星安全专家介绍，近期瑞星就截获了一个“特别”的敲诈病毒“TrumpLocker”，通过分析病毒样本发现，“TrumpLocker”病毒从代码上来讲，其实并没有什么新意，与去年的VenusLocker属同一类病毒，只是在病毒加密完用户文件后会弹出一张川普照片，让他来提示用户电脑被黑了，这说明不止用户被黑了，就连川普也被黑了。

“TrumpLocker”病毒传播的主要途径是垃圾邮件，当用户点击邮件中的链接，或是下载邮件中的附件，就有可能感染此病毒，上百种文件将被完全加密，用户需按提示支付相应赎金才有可能解密文件。目前，该病毒已被瑞星病毒库收录，瑞星所有安全产品均可对其进行拦截。



通过对“TrumpLocker”病毒的代码进行分析发现，该病毒采用C#开发，使用成熟的密码学算法对文件进行加密，病毒运行之后会将当前中毒的机器名和用户名发送到控制服务器，服务器根据发送的信息，生成加密秘钥、ID和赎金金额等信息。勒索金额并不是固定的，由服务端控制，瑞星安全专家分析的样本勒索150$，大约为1000人民币。



病毒作者会分类加密文件，根据文件后缀名不同，加密的方式也不同。加密分为两大类，一类是加密文件的前1024字节，另一类是加密整个文件。而且病毒还会对文件名进行base64编码，让受害者找不到自己的重要文件，提高勒索成功的概率。同时，病毒还会删除还原点，导致备份被删除，系统无法还原加密文件。

最后，病毒提示用户，文件已加密，需要在72小时内，支付150 US Dollars获取秘钥，否则文件将无法恢复。同时，病毒还提示用户操作方法与支付流程，以便用户进行汇款操作。



瑞星安全专家提醒：

1、警惕陌生人发来的电子邮件，不要随意打开邮件附件中的压缩包或者应用程序。如果必须要打开时，请先对附件进行病毒扫描。

2、定期备份系统与重要文件，并离线存储独立设备。

3、使用专业的反病毒软件、防护系统，并及时更新。

4、加强员工（用户）安全意识培训，不要轻易下载文件、邮件附件或邮件中的不明链接。

5、已经中毒的用户暂时不要重装系统，以免注册表中的加密文件信息丢失。

6、如果用户遇到困难，可及时联系瑞星客服获取帮助。

反病毒测试员

工程师很久没出动了，这是什么节奏

瑞星工程师

反病毒测试员 发表于 2017-3-1 12:24
工程师很久没出动了，这是什么节奏

潜水而已。。。。。

skycai

out了。