趨勢科技於近期發現一起新的勒索軟體 Ransomware爆發事件。一旦執行此惡意程式,電腦上的檔案就會被加密鎖定而無法開啟使用。與之前的勒索軟體 Ransomware相同,此惡意程式會將自己偽裝成Email附加檔案,也有可能直接從網路上下載來;除此之外,感染勒索軟體 Ransomware的電腦,會尋找網路芳鄰的共享資料夾或是網路磁碟機,若具有寫入權限的話,也會將這些共享資料夾或是網路磁碟機上的檔案進行加密。部分用戶反映因使用者電腦上C磁碟機沒有設定存取限制,因此整個C磁碟機遭到感染勒索軟體 Ransomware的電腦加密。趨勢科技在此提醒您,切勿輕易執行來源不明的檔案。
簡體中文勒索訊息:告知檔案即將被加密 (有受害者整個硬碟被加密)
此次勒索軟體 Ransomware與以往不同的地方在於,此勒索軟體 Ransomware執行後,會出現簡體中文的說明頁面,告知受害者的檔案即將被加密;後來發現,更有受害者的整個硬碟被加密。
而此勒索軟體 Ransomware下載後會複製一份放置於C:\Users\All Users\,只要登入至該主機的使用者皆有可能感染。同時,它也會新增以下資訊至登錄檔
\HKEY_USERS\S-1-5-21-706670597-753717926-1206375605-54909\Software\Microsoft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
\HKEY_CURRENT_USERS\Software\Microsft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
表示系統開機執行時會自動執行,且不論那一個user登入該主機皆會自動執行。
趨勢科技產品已可偵測攔截此勒索軟體 Ransomware TROJ_CRILOCK.PRL
截至目前為止,趨勢科技產品已可偵測攔截此勒索軟體 Ransomware(病毒名稱為:TROJ_CRILOCK.PRL),也將已知可能下載此勒贖軟體的惡意網站封鎖,例:
請您隨時保持您的趨勢科技產品病毒碼在最新版本,以維持最完善的防護。