国家计算机病毒应急处理中心通过对互联网的监测发现,一种恶意勒索软件cerber3新变种cerber4出现。该变种主要利用网站挂马方式进行传播,且勒索信息存于后缀为hta的进程文件中,具有多国语言版本。
我们分析发现,该恶意勒索软件会加密受感染计算机系统中的重要文件,加密的文件后缀修改为4个随机字符(数字和字母),而不是之前的扩展名“cerber3”。该变种在加密方式没有大的改变,只是做了一些优化,除了废除之前繁琐的加载过程,取而代之的是更为传统的傀儡进程模式,还使用了一些适当字符串以混淆逃避防病毒软件的静态特征扫描。
另外,该变种还增加了通过判断受感染操作系统的本机时间来执行恶意操作、关闭数据库进程以加密数据文件(解除文件占用)等新的特性。
专家提醒:
针对这种情况,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)重要数据应定期备份;操作系统和浏览器、Adobe Flash Player等软件的漏洞补丁应及时下载安装,可以一定程度上避免受到来自绝大多数的恶意网页或客户端的挂马攻击。
(二)系统应设置显示文件后缀,陌生人发来的可疑程序或脚本(如exe、scr、js等)不要双击运行。
(三)建议打开操作系统中防病毒软件的“实时监控”功能,对操作操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。