FilesLocker病毒招募代理化身“蛇发女妖” 感染数家政企

本篇文章1275字，读完约3分钟

在希腊古典神话，有三个叫蛇发女怪的可怕女妖。它们有长长的翅膀、爪子和尖牙，可以把那些直视石头的人变成吸血鬼，并且杀死了无数的生物。这个可怕的女妖不仅存在于神话，也存在于特洛伊木马世界。

最近，腾讯安全威胁情报中心发现一个名为“蛇发女怪”的软件在中国传播，并感染了几个政府和企业单位。经过分析，发现gorgon病毒是fileslocker ransomware的一个稍加修改的版本。文件锁定器病毒最早出现在2018年10月，专门攻击政府部门、企业和机构。当它出现时，它很快招募“代理人”来寻求规模和产业化以获得利润。对此，专家推测，这次出现的蛇发女怪病毒很可能是其“下线”的“杰作”。

(照片:蛇发女怪病毒勒索提示页面)

通过分析捕获的病毒样本，腾讯安全技术专家发现，蛇发女怪病毒在勒索界面的显著位置使用了蛇发女妖图标。这位病毒作者似乎暗示，只要蛇发女怪病毒被感染，用户的计算机系统就会被“石化”，就像被一个蛇发女妖施了魔法一样。像文件锁一样，高更可以加密几乎所有类型的普通文件格式，包括办公室、数据库、源程序、音频、视频和压缩文件。

与以前版本的fileslocker相比，这次，gorgon病毒的用户界面和安全性得到了显著的“优化”。在用户界面方面，犯罪分子将桌面勒索提示文件从fileslocker版本的txt发布到html，从只支持中英文双语的“升级”到支持中、英、韩文，并且勒索说明更加详细；同时，添加winlogon系统登录项目，在引导登录界面向被招募的用户显示勒索信息。在安全性方面，增加了密码混淆功能，增加了解密的难度；此外，高更改变了用于讹诈加密的rsa公钥，导致原病毒作者释放rsa私钥进行解密，这将不再适用于当前病毒版本的解密。

(照片:被蛇发女怪病毒修改的桌面壁纸)

这个软件的名字叫“蛇发女怪”，曾经让安全人员非常警惕，因为有一个专业的黑客组织——蛇发女怪集团，它被认为是来自巴基斯坦。该组织主要攻击世界各地的外国商人，目标包括政治和商业组织以及英国、西班牙、俄罗斯和美国的成员。虽然这次捕获的软件名叫高更，但腾讯安全技术专家并没有发现与高更集团有任何关联。

为了保护企业用户免受病毒攻击，腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒企业网络管理人员尽可能关闭不必要的文件共享和端口，定期对重要文件和数据进行非本地备份；采用高强度密码，对没有互联要求的服务器/工作站的内部访问设置相应的控制；在终端/服务器上部署专业安全防护软件，网络服务器可以考虑部署具有专业安全防护能力的云服务，如腾讯云；建议在全网安装皇家终端安全管理系统，使企业管理者能够充分了解和管理企业内部网的安全状况，保护企业安全。

(照片:腾讯玉电终端安全管理系统)

据报道，该病毒主要针对政府和企业用户，但个人用户不应放松警惕。为此，马劲松建议广大个人用户应该实时打开腾讯电脑管理器等主流安全软件，加强保护。目前，腾讯电脑管理引入的文档守护功能可以利用磁盘冗余空备份数据文件，在文件被ransomware破坏的紧急情况下帮助用户快速恢复文档。