国家计算机病毒应急处理中心通过对互联网的监测发现,近期一种恶意木马程序变种Trojan_Agent.WMU出现。该变种通过邮件附件传播,如果计算机用户不小心运行,受感染操作系统中的文档、照片等文件会被加密无法正常打开。
该变种运行后,会在受感染操作系统的桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。一旦感染,对大多数人来说只能尝试找回被加密文件“以前的版本”,前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。即使用户支付了赎金,但是由于获取赎金支付信息需要在“Tor网络”中进行,并且“Tor网络”中的信息是随机匿名加密传输的,比特币交易也是完全匿名的,使得病毒作者难以被追踪到,支付赎金后很可能无法恢复加密过的文档数据。
另外,该变种运行后会将自身拷贝到系统临时目录中,并且创建计划任务,实现自启动;远程注入恶意代码到svchost.exe中;遍历用户所有文件,包括硬盘、U盘、网络共享等存储设备,判断用户的文件格式是否符合感染目标。与此同时,根据计算机启动时间、文件创建、修改、访问时间等信息随机生成密钥KEY,对文件压缩后进行AES加密。
专家提醒:对这种情况,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)针对已经感染该恶意木马程序变种的计算机用户,我们建议立即升级系统中的防病毒软件,进行全面杀毒。
(二)针对未感染该恶意木马程序变种的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。
(三)不要轻易打开陌生电子邮件或者是具有诱惑性的邮件附件,即使是熟悉的邮件也要核实邮件内容的真实性后,再点击打开电子邮件的附件。
联系方式:
国家计算机病毒应急处理中心
公安部计算机病毒防治产品检验中心