慎防Locky勒索软件病毒

事件通告

2016年3月18日,我校接到第一例邮箱用户感染Locky勒索软件病毒的报告,提醒所有用户严加防范。

该病毒属于CTB-Locker病毒的新变种,有部分防病毒软件厂商命名带有Locky字样,中文统称勒索软件或勒索病毒;主要以邮件附件形式传播,从我们收集的样本信息来看,附件文件名为“wire_payment_288787.zip”,内含3个文件,分别是details_3e1d9a66.js,e-bill_8c776186.js,thumbs.db,真正有问题的是两个以.js为扩展名的脚本文件。邮件头和邮件正文类似如下:

###
发件人: "Joan Dean" < DeanJoan339@uk.net>
收件人: "username" <username(@)mail.sysu.edu.cn>
发送时间: 星期五, 2016年 3 月 18日 上午 12:01:25
主题: FW: Payment #288787

Dear username,

Please find attached an invoice that is now due for payment.

King Regards.

Joan Dean
Managing Director
###

收到邮件的用户如果误打开附件,并且运行里面的病毒脚本后,计算机上的所有文件和文件夹均被加密,无法再被打开,桌面上会弹出一个标题为“重要资讯”的警告信息,告知所有文档已被强加密,要想解密只有按照指引联系勒索者。该病毒样本截止至2016年3月21日9:27时,有23/56 的防毒引擎检出率(检测报告详见 https://www.virustotal.com/en/file/3be5befe6d897f1865b232a160943e38eb19d39c9a8588a3a3c8f4370d2cdbec/analysis/1458523639/ ),所以如果用户计算机安装了可检出该病毒的防病毒软件,在一定程度上也能阻止病毒的运行。

目前国内高校有不少邮箱用户感染了类似的病毒。请广大邮箱用户提高安全意识,不要随便打开不明来历的邮件附件,勤打系统补丁,安装防病毒软件,及时更新,平时注意多备份重要的文件和数据到不可擦写的介质上(如光盘等)。不慎中招者,请立即关闭计算机,拆出硬盘,送交有实力的数据恢复公司看能否恢复出加密前的文件数据。

去年我校发布的相关信息:
http://csirt.sysu.edu.cn/announcement/1281-ctb-locker.html