近日，安天CERT發現一款新的勒索軟件家族，名為“Locky”，它通過RSA-2048和AES-128算法對100多種文件類型進行加密，同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件。經過分析發現，這是一類利用垃圾郵件進行傳播的勒索軟件，是首例具有繁體中文提示的勒索軟件。


 
       樣本行為

       1. 運行樣本后，勒索軟件文件會自復制為*\temp\svchost.exe，運行并創建進程。
       2. 同時，其會刪除自身樣本文件。另外并注冊*\temp\svchost.exe為系統啟動項，但在其后完成所有行為后會刪除該文件，同時注冊表信息也被刪除，即并未實現自啟動的功能。
       3. 勒索軟件進程svchost.exe會遍歷系統中的所有文檔類型文件，并進行加密，根據勒索提示文件獲悉其是通過RSA-2048 和AES-128暗碼進行了加密。并且在每個目錄下面釋放一個勒索提示文件_Locky_recover_instructions.txt，來說明如何支付和解密流程。其中每個受害者都有一個個人識別ID。
       4. 完成加密操作后，勒索軟件進程會刪除自身進程以及相應的文件和注冊表項。
       5. 在對其網絡通信行為進行分析過程中，會發現其會訪問一個烏克蘭IP地址，該網址目前無法打開。


 
       總結

       通過目前的分析來看，勒索軟件“Locky”的功能與之前分析的勒索軟件的功能基本一致。勒索軟件能給攻擊者帶來巨大的收益，因其使用比特幣進行交易，所以很難追蹤；一旦用戶感染了勒索軟件，只能付費進行解密或是丟棄這些文件。安天提示廣大用戶，即使支付贖金也不一定能保證可以完全恢復被加密的文件。防止數據被加密，更應該注意勒索軟件的防御，養成良好的上網使用習慣，不要輕易執行來歷不明的文件。

       “Locky”和其他勒索軟件的目的一致，都是加密用戶數據并向用戶勒索金錢。與其他勒索軟件不同的是，它是首例具有繁體中文提示的勒索軟件，這預示著勒索軟件作者針對的目標范圍逐漸擴大，勒索軟件將發展出更多的本地化版本。

       安天預測，今后中國將受到更多類似的勒索軟件攻擊。所以，如何防御勒索便成為保衛網絡安全的重要任務之一。目前安天智甲已經實現對該勒索軟件的檢測。

       （報告原文：http://www.antiy.com/response/locky/locky.html）