勒索软件ProLock藏身图片事件分析(2020.4.24)

近日，安天CERT发现一种将恶意ShellCode嵌入到BMP图像文件中的ProLock勒索软件，它通过混淆的PowerShell代码加载以躲避安全软件查杀。安天CERT通过关联分析，认为该勒索软件是安天曾分析过的PwndLocker勒索软件的变种。PwndLocker勒索软件此前曾尝试将ShellCode嵌入伪造的AVI视频文件中，但由于使用的加密方法存在缺陷，被加密的文件存在恢复的可能。近期，攻击者已修复了之前版本的缺陷，目前被ProLock勒索软件加密的文件在未得到密钥前暂时无法解密。完整报告可在mp.weixin.qq.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理