病毒预报  第八百四十八期

国家计算机病毒应急处理中心通过对互联网的监测，发现一款Panther勒索病毒极为活跃，经深度分析后发现，此为黑客团伙老豹的又一次散播病毒行动。 据了解，该组织于今年五月底开始传播病毒，通过以供应链攻击的方式，下发潜伏在中文编程语言编译环境中的感染型病毒Peviru，导致用户编译的所有程序都被感染。同时，发现该组织在下发病毒的过程中，同样利用了之前部署的病毒模块，熟悉的老豹字样如同标识般再次出现在完整的进程链之中。但不同的是，此次黑客团伙老豹却以加密文件，勒索钱财为目的，继续攻击网络。 该勒索病毒加载器为fixsys.exe，病毒作者使用VMProtect虚拟化壳保护勒索病毒的核心代码，并通过Process Hollowing的注入方式将Panther勒索病毒本体注入到svchost.exe进程中执行。执行后，该勒索病毒会遍历磁盘分区并加密用户文件。加密过程中，该勒索病毒采用文件后缀和文件目录白名单机制。另外，Panther勒索病毒采用RSA+AES的加密方式，通过开源的CryptoPP加解密库实现。 针对该类恶意程序所造成的危害，建议用户不要运行未知来源的软件。同时提高安全意识，安装防病毒软件，对于安全软件提示风险的程序，切勿轻易添加信任或退出杀软运行。及时为操作系统、常用软件等打好补丁，以免受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心