Sodinokibi变种可加密打开和锁定的文件(2020.5.22)

国外安全研究人员发现Sodinokibi勒索软件新变种（即版本2.2），该变种可加密打开和锁定的文件。新功能是使用Windows启动管理器API关闭进程或锁定文件的Windows服务以对其进行加密。如果某个进程具有某个特定文件的打开文件句柄，然后由另一个进程写入该文件，它将被Windows操作系统阻止。为了避免这种情况，Sodinokibi开发人员利用了Windows重新启动管理器。Sodinokibi会打开文件加密而不共享，每当打开已打开的文件，发生共享冲突时，都会调用Windows启动管理器。研究人员还指出，该变种还利用Windows启动管理器 API关闭任何可能阻止文件被解密的进程。完整报告可在securityaffairs.co下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理