近日，瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga，該病毒影響惡劣，不僅會設置開機密碼，同時還會加密電腦中的文件，由于加密的文件中包括重要的系統文件，因此會導致計算機關機或重啟后無法進入系統，即使用戶重裝系統，重要文件也無法恢復。

[[262321]]

電腦被加密后無法重啟視頻：https://v.qq.com/x/page/l0859yz7fus.html

據媒體報道，目前國外大量公司均已遭受攻擊，其中包括全球最大的鋁供應商挪威海德魯公司Norsk Hydro(損失逾4千萬)、美國瀚森化工公司Hexion Specialty Chemicals、美國有機硅巨頭邁圖集團Momentive、Altran Technologies公司等。

瑞星安全專家通過進一步分析發現，LockerGoga勒索病毒之所以很危險，是因為它不僅會加密文件進行勒索，而且還會破壞操作系統，這種行為與常見的勒索病毒截然不同，可以說具有明顯的惡意攻擊意圖。

目前，根據瑞星監測數據顯示，暫未發現該病毒在國內的大規模攻擊事件，安全專家提醒廣大用戶提前做好以下防御措施，以防LockerGoga勒索病毒發起惡意攻擊。

防御措施

• 不下載運行來歷不明的軟件。
• 提高上網安全意識，做好重要數據備份。
• 及時安裝系統補丁，設置復雜密碼。
• 安裝殺毒軟件，保持防護開啟，查殺勒索病毒。
• 安裝勒索病毒防御軟件，攔截勒索病毒加密文件。

應急措施

• 已中毒機器斷網，防止感染其它機器。
• 已中毒機器重裝系統。
• 未中毒機器安裝殺軟。
• 未中毒機器安裝瑞星之劍，勒索防御軟件。
• 未中毒機器及時備份重要文件。

病毒分析

1. 不帶參數的進程

(1) Windows進程提權。

圖：進程提權

(2) 將病毒程序移動到C:\Users\Administrator\AppData\Local\Temp目錄下，重命名后的名稱是tgyturcXXXX.exe(XXXX為四個隨機數字)。

圖：移動目錄

(3) 將tgyturcXXXX.exe以命令行-m的方式啟動。該進程會創建命令行為i SM-tgytutrc -s的多個子進程。

圖：創建進程

(4) 在桌面創建勒索信"README_LOCKED.txt"。

圖：勒索信息

圖：勒索信內容

2. 帶參數- m的父進程

(1) 創建互斥體"MX-tgytutrc"。

圖：互斥體

(2) 遍歷磁盤文件。

圖：遍歷磁盤

(3) 創建命令行參數是 i SM-tgytutrc -s的子進程，并一直監控子進程的狀態，如果子進程意外關閉則重新創建帶此參數的子進程。

圖：創建進程

三、帶參數 i SM-tgytutrc -s的子進程

(1) 打開父進程創的互斥體"MX-tgytutrc"，如果互斥體不存在，子進程會退出。

圖：打開互斥體

(2) 子進程獲取父進程傳過來的用base64加密的文件路徑，用base64解密后，得到要加密的文件路徑。

圖：獲取路徑

(3) base64解碼獲得RSA公鑰。

圖：RSA公鑰

(4) 加密文件，在文件名稱后追加“.locked"，加密算法采用的是AES算法加密，AES的密鑰是隨機生成的，并且被RSA公鑰加密后追加到了被加密的文件末尾處。

圖：加密文件

(5) 加密的文件類型除了以下之外還加密了大量其他文件，并且C:\Boot文件夾里面的文件全部被加密而且還可以被多次加密。

圖：加密的文件類型

圖：C:\Boot

4. 其他階段

勒索病毒破壞了系統文件，致使重新啟動電腦失敗。

圖：進入系統失敗