病毒预报  第七百九十三期

国家计算机病毒应急处理中心通过对互联网的监测发现了一款名为Seon的勒索病毒，并且发现攻击者通过Bizarro Sundown漏洞利用工具包进行传播，该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件，修改文件后缀为 .FIXT，加密完成后弹出hta窗口与用户交互索要赎金。

其首先会生成AES密钥，存放在注册表HKEY_CURRENT_USER\Software\GNU\Display -> windowData中，然后通过ASM获取CUP信息，遍历磁盘，在每个目录下释放勒索信息txt文件，同时使用AES算法对文件进行加密，加密完成后在Temp目录下释放startb.bat并运行，其是用于删除磁盘卷影和备份的bat命令，用于防止恢复备份，最后在Temp目录下释放readme.hta文件，该文件为勒索信息，通过mshta.exe弹出。

针对该恶意程序所造成的危害，建议用户做好安全防护，在所使用的计算机中安装安全防护软件，并将病毒库版本升级至最新版，及时给电脑打补丁修复漏洞，包括Internet Explorer内存损坏漏洞CVE-2016-0189、Flash类型混淆漏洞CVE-2015-7645、Flash越界读取漏洞CVE-2016-4117等，以免使电脑受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心