國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)�,發(fā)現(xiàn)一種名為Ouroboros的勒索軟件在我國(guó)湖北��、山東等地通過(guò)垃圾郵件傳播����,感染了醫(yī)療和電力系統(tǒng)的計(jì)算機(jī)。Ouroboros勒索病毒首次出現(xiàn)于2019年8月中旬��,目前發(fā)現(xiàn)其主要通過(guò)垃圾郵件渠道傳播,該病毒加密文件后會(huì)添加.Lazarus擴(kuò)展后綴��。目前該勒索軟件無(wú)法被解密����。
Ouroboros勒索軟件通過(guò)垃圾郵件進(jìn)行傳播��,使用加殼程序進(jìn)行偽裝���,病毒運(yùn)行后首先使用PowerShell命令行刪除卷影���,部分樣本還會(huì)同時(shí)禁用任務(wù)管理器。該勒索病毒首先獲取本機(jī)的IP���、磁盤(pán)信息�、隨機(jī)生成的文件加密Key信息��、使用的地址郵箱地址等信息��,并將上述信息回傳至IP為176.31.68.30(位于法國(guó))的命令控制服務(wù)器���。隨后對(duì)服務(wù)器返回結(jié)果進(jìn)行判斷是否正常��,如果正常����,則獲得加密秘鑰,否則將拷貝一個(gè)硬編碼密鑰進(jìn)行備用����。病毒同時(shí)會(huì)留下名為Read-Me-Now.txt的勒索說(shuō)明文檔,要求聯(lián)系指定郵箱購(gòu)買解密工具��。由于在該病毒基礎(chǔ)設(shè)施完善情況下����,病毒攻擊過(guò)程中使密鑰獲取困難,因此目前無(wú)法解密�����。
針對(duì)該勒索軟件特點(diǎn)�,建議我國(guó)重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施用戶采取以下措施予以防范,一是不輕易打開(kāi)不明來(lái)歷的電子郵件和附件�;二是開(kāi)啟安全防護(hù)軟件,并保持最新版本�;三是將重要資料進(jìn)行不定期的非本地備份。