亚信安全截获最新勒索软件变种（亚信安全截获最新勒索软件变种）

近日，亚信安全截获了最新勒索软件变种CryptXXX和Cerber。亚信安全将CryptXXX命名为RANSOM_WALTRIX.A，与以往不同的是，该勒索软件通过用户访问恶意网站下载到本机，其不仅加密多种类型文件，还窃取系统中特定程序信息。

Cerber病毒加密后的文件扩展名为.cerber，其不但会加密文档文件，还会加密桌面及移动硬盘的数据，亚信安全将其检测为RANSOM_CERBER.A。

CryptXXX勒索软件执行流程

受害者访问恶意网站

下载加密勒索软件

勒索软件加密系统中的文件

CryptXXX勒索软件感染流程图

一CryptXXX勒索软件详细信息

该病毒通过访问恶意网址下载勒索软件导致系统中的文件被加密，被加密的文件扩展名为.crypt。

{BLOCKED}.{BLOCKED}.42.68

其会加密如下扩展名文件

• .3dm .3ds .3g2 .3gp .7z .accdb .aes .ai .aif.apk .app .arc .asc .asf.asm.asp.aspx.asx.avi

• .bat.bmp.brd.bz2.c.cer.cfg.cfm.cgi.cgm.class.cmd.cpp.crt.cs.csr.css.csv.cue.db.dbf qlite3

• .dch.dcu.dds.dif.dip.djv.djvu.doc.docb.docm.docx.dot.dotm.dotx.dtd.dwg.dxf.eml.eps.sqlitedb

• .fdb.fla.flv.frm.gadget.gbk.gbr.ged.gif.gpg.gpx.gz.h.htm.html.hwp.ibd.ibooks.iff.ppt.pptm.pptx.

• prf.priv.private.ps.psd.pspimage.py.qcow2.ra.rar.raw.rm.rss.rtf.sch.sdf.sh.sitx.sldx.slk.sln.sql.s

• .indd.jar.java.jks.jpg.js.jsp.key.kml.kmz.lay.lay6.ldf.lua.m.m3u.m4a.m4.max.mdb.mdf.mfd

• .mid.mkv.mml.mov.mp3.mp4.mpa.mpg.ms11.msi.myd.myi.nef.note.obj.odb.odg.odp.ods.odt

• otg.otp.ots.ott.p12.pages.paq.pas.pct.pdb.pdf.pem.php.pif.pl.plugin.png.pot.potm.potx.ppam.p

• ps.ppsm.ppsx..srt..std.sti.stw.svg.swf.sxc.sxd.sxi.sxm.sxw.tar.tbk.tex.tga.tgz.thm.tif.tiff.tlb.tmp

• .txt.uop.uot.vb.vbs.vcf.vcxproj.vdi.vmdk.vmx.vob.wav.wks.wma.wmv.wpd.wps.wsf.xcodeproj.

• xhtml.xlc.xlm.xlr.xls.xlsb.xls.xlsx.xlt..xltx.xlw.xml.yuv.zip.zipx

窃取如下程序信息

• FileZilla

• FTPRush

• VanDyke

• FTP Explorer

• SmartFTP

• TurboFTP

• FTPRush

• Ipswitch WS_FTP

• Far FTP

• Far2 FTP

• CuteFTP 7 Professional

• CuteFTP 8 Professional

• CuteFTP 8 Home

• CuteFTP 6 Professional

• CuteFTP 6 Home

• CuteFTP 7 Home

• Windows Commander

• Total Commander

• Bullet Proof FTP

• Bullet Proof FTP

• Sota FFFTP

• FTPWare COREFTP

• FTPClient

• SoftX.org FTPClient

• Digsby

• MySpace

• Pidgin

• Trillian

• Google Talk

• Paltalk

• Windows Live Mail

• Scribe

• Outlook

• Outlook Express

• Internet Account Manager

勒索软件显示的加密勒索信息

一

目前建议采取的防护措施

1、亚信安全最新发布的中国区病毒码版本12.536.60已包含截止5月20日收到的所有变种，请及时更新病毒码；

2、不要随意访问未知网址，在访问之前可以先检查网站信誉；

3、注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；

4、亚信安全TDA & Deep Edge联动方案，当用户访问恶意网址时，可以有效阻止勒索软件下载，最大限度帮助用户防止勒索软件入侵；

5、使用防毒墙网络版(OfficeScan 11 SP1)和 Worry-Free 9.0 SP2，开启针对勒索软件（Ransomware）的行为阻止策略，如下图：

6、亚信安全IMSA，IMSS，DDEI，DE等邮件网关类产品，均可通过策略设置，最大限度的保护用户的数据安全；

7、SafeSync产品将用户桌面指定的文档同步至企业存储服务器中，备份若干历史版本，如果终端文档被加密，可通过SafeSync恢复历史版本的方式来实现加密文档的恢复。

,