近日，安天 CERT 在梳理網(wǎng)絡(luò)安全 事件時(shí)發(fā)現(xiàn)一個(gè)名為 LooCipher 的新型勒 索軟件，LooCipher 最初是由國外安全研 究員 Petrovic 發(fā)現(xiàn)的。該勒索軟件主要通 過垃圾郵件進(jìn)行傳播，郵件附件為包含 惡 意 宏 代 碼 的 Word 文 檔 Info_BSV_2019. docm。該文檔誘使用戶啟用宏以查看文檔 內(nèi)容，宏代碼的功能為連接 Tor 服務(wù)器并 下載 3agpke31mk.exe，將該文件重命名為 LooCipher.exe，然后執(zhí)行該文件。

      勒索軟件 LooCipher 執(zhí)行后，會(huì)在桌 面上創(chuàng)建一個(gè)名為 c2056.ini 的文件，該 文件中包含 USER_ID、支付贖金的截止時(shí)間和比特幣地址。LooCipher 會(huì)加密計(jì) 算機(jī)上的文件，創(chuàng)建文件的加密副本，并 追加后綴名“.lcphr”，LooCipher 只刪除 了原文件內(nèi)容并未刪除原文件。加密結(jié)束 后，LooCipher 會(huì)創(chuàng)建一個(gè)名為“@Please_ Read_Me.txt”的勒索信，勒索信中包含解 密說明、比特幣地址和勒索金額（300 歐 元 或 330 美 元）。LooCipher 還 會(huì) 替 換 桌 面壁紙，桌面壁紙內(nèi)容與勒索信類似。

      安天提醒廣大用戶，及時(shí)備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝 更新補(bǔ)丁，避免一切勒索軟件利用漏洞感 染計(jì)算機(jī)；對非可信來源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網(wǎng)站添加書簽并通過書簽訪問； 避免使用弱口令或統(tǒng)一的密碼；確保所有 的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取 VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認(rèn)安全后再運(yùn)行。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該 類勒索病毒的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對該勒索病毒的查殺。