腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。
经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。Ouroboros勒索病毒首次出现于年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。腾讯安全提醒各政企机构提高警惕,避免打开来历不明的邮件,腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。Ouroboros勒索病毒受害者的求助贴Ouroboros勒索病毒的主要特点:
病毒会删除硬盘卷影副本;
部分样本会禁用任务管理器;
病毒加密前会结束若干个数据库软件的进程,加密文件时会避免加密Windows,eScan等文件夹;
个别情况下,该病毒的加密可以解密。在病毒按预期运行,基础设施完善情况下,暂无法解密;
攻击者弹出勒索消息,要求受害者通过电子邮件联系后完成交易。
分析Ouroboros勒索病毒通常使用外壳程序来进行伪装,通过内存可Dump出勒索payload查看勒索payload可知其PDB,根据PDB文件名,将该病毒命名为Ouroboros勒索病毒。病毒运行后首先使用PowerShell命令行删除卷影部分样本还会同时禁用任务管理器首先获取本机的IP,磁盘信息,随机生成的文件加密Key信息,使用的邮箱信息进行上报获取本机IP服务接口:hxxp://转载请注明:http://www.wangguoqiangq.com/sglbxw/7516.html
