ERIS勒索病毒变种在我国境内传播

2019年8月8日，我国腾讯公司发布报告称，一种名为ERIS的勒索病毒变种在我国通过垃圾邮件和LordEK漏洞利用工具包传播。目前该勒索软件还没有解密工具，对我国政企机构存在潜在影响。ERIS的勒索病毒变种使用GO语言编写，通过垃圾邮件和LordEK漏洞利用工具包进行传播，进入目标系统后，首先会获取本地机器环境信息，然后病毒运行后首先会生成一对RSA密钥，私钥Base64编码后同获取的本地机器环境信息一并进行json格式化，格式化后的json数据则使用随机生成密钥的RC4算法加密。文件加密前会遍历当前系统进程，包含sql，backup，malware，server，http，apache，agent关键词则将其结束，然后调用CMD结束指定进程，删除系统备份卷影信息，并禁止Windows进入恢复模式。最后对每个文件生成单独的salsa20密钥对文件进行加密，由于对应的RSA私钥被加密后无法解密，故不缴纳赎金情况被加密文件无法解密恢复。病毒留下的勒索信要求到指定地址使用比特币购买解密工具。此次发现的样本勒索0.05个比特币，约价值4000人民币。如果一个月不支付赎金，文件将永远无法恢复。ERIS勒索病毒首次出现于2019年5月，加密文件完成后会添加ERIS扩展后缀因此得名。针对该恶意程序特点，建议用户采取以下措施予以防范，一是不轻易打开未知来源的电子邮件及其附件；二是及时安装操作系统和应用软件的安全更新程序；三是定期更换密码，避免使用弱口令；四是保持安全软件开启，并更新为最新版本；五是定期对重要数据做好离线备份。