新型勒索病毒LooCipher活跃需加强防范

日前，优炫软件安全研究院监测到多个活跃计算机病毒，其中LooCipher属于新型勒索病毒，主要通过垃圾邮件进行传播，广大客户一定要做好防范活跃病毒的安全部署。

LooCipher勒索病毒

LooCipher勒索病毒使用带有宏的文档作为载体，一旦用户打开文档，就会邀请用户启用宏代码执行。宏代码从指定网站下载勒索软件并启动。程序运行后，就开始加密所有受害者的文件，其中系统和程序文件夹除外，例如Program Files、Program Files（x86）、windows等，避免启动操作系统所需的文件损坏。在加密阶段，对于要加密的每个文件，恶意软件会创建文件的加密副本，但它不会删除原始文件，而是会清空它们并强制使用0字节大小。当加密阶段结束时，它会在受害者桌面上创建一个FAQ文件夹，其中包含用于展示付款说明的文件。受害者只有五天时间来进行付款。超过期限，密钥将会被自动销毁，而受害者的文件将无法恢复。此外，类似的信息也会以桌面背景和弹窗的形式出现在受感染计算机的桌面上。在加密阶段结束后，恶意进程就会获取有关受感染计算机的信息并检索BTC 地址以显示在弹出窗口中。

处置建议

1、及时升级操作系统安全补丁,升级 Web、数据库等服务程序,防止病毒利用漏洞传播。

2、用户做好安全防护，在所使用的计算机中安装安全防护软件，并将病毒库版本升级至最新版，及时给电脑打补丁修复漏洞，包括Internet Explorer内存损坏漏洞CVE-2016-0189、Flash类型混淆漏洞 CVE-2015-7645、Flash 越界读取漏洞 CVE-2016-4117等，以免使电脑受到该恶意程序的危害。

近期活跃的计算机病毒还包括Win32.Nimnul.f病毒和GoldBrute僵尸网络病毒。

Win32.Nimnul.f病毒

Win32.Nimnul.f病毒通过感染可执行文件exe达到持久驻留的目的，在被感染文件运行时会释放一个用于下载远控木马和感染其它可执行文件的模块，远控木马主要用于构建僵尸网络进行 DDoS 攻击，但也可随着下载服务器的更新，通过下载的模块进行其它的恶意行为。该恶意程序在%temp%目录下释放可执行文件IBLf.exe和批处理文件，释放的文件在执行后进行删除，然后执行释放的可执行文件和批处理文件。同时，设置注册表项值并在最后删除注册表项值。

GoldBrute僵尸网络病毒

GoldBrute僵尸网络病毒通过传统的RDP爆破方式进行传播，被该病毒感染的主机会受C&C服务器 104.***.2**.**1所操控。该病毒首先会嗅探互联网上主机IP地址的RDP 服务端口，对 210.200.0.0-210.211.255.0地址段进行扫描，并同时对3389端口进行扫描。如果扫描到3389端口的机器，则进行暴力破解，并保存相应的结果。

安全管理建议

1、及时升级操作系统安全补丁,升级 Web、数据库等服务程序,防止病毒利用漏洞传播。

2、服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

3、定期对重要服务器、应用系统、网络设备、安全设备等进行安全检查。

4、发现信息系统存在的安全漏洞的端口,并关闭这类存在安全威胁的端口，以保障主机安全。