僵尸网络再次传播勒索软件Locky(2017.07.3)

近日,国外安全专家在今年五月发现僵尸网络Necurs停止了勒索软件locky的传播,而去支持勒索软件Jaff的传播。但是在六月,随着安全厂商卡巴斯基推出了Jaff的解密工具后,Necurs再次选择了投放Locky。此次的Locky变种同样使用邮件附件隐藏勒索软件的形式,但是只是针对Windows XP系统而对于windows 7或者具有DEP防护功能的系统会导致附件解包失败。目前该Locky变种具有反调试的功能,一旦检测到调试器,配置指针将重定向到kernel32!AllocConsole,使得调试失败。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供,国家计算机病毒应急处理中心研发部编译整理

参考资料:

http://blog.talosintelligence.com/2017/06/necurs-locky-campaign.html