病毒预警

近日，一新型勒索病毒PyLocky出现在大众视野，该勒索病毒可导致中招电脑硬盘里的文件遭到病毒的加密。如果被攻击者想要取回这些文档，就必须在指定的时间内支付赎金，由此很多企业和个人都被迫支付赎金。有时即使付了赎金，还是无法还原被加密的文件，面临巨大的财产损失。

PyLocky勒索病毒的图标被伪装成office文档，病毒代码由Python编写，通过Inno Setup Installer工具打包，并对打包文件进行签名。该病毒一旦运行就会对被攻击者的文件进行加密，覆盖原文件，将秘钥信息回传给黑客服务器，最后显示勒索信息。

例如，华为未然实验室安全专家捕获了如下一个病毒样本：

PyLocky病毒执行流程

华为安全专家捕获病毒样本是一个Inno Setup打包的可执行文件，文件内部包含大量病毒运行依赖的C++库文件和Python库文件以及一个由python代码转换成的exe文件样本。

解压安装包文件并对病毒文件进行反编译，得到其python代码并仔细分析，得到该样本的执行流程如下：

生成秘钥->获取信息->解密消息->

回传信息->遍历磁盘->文件加密

PyLocky病毒执行流程详解：

1）生成密钥

通过“npass”函数生成随机密钥，用以文件的加密：

2）获取信息

判断系统内存大小，如果系统内存小于4G，则样本休眠999999秒：

将用来加密被攻击者文件的秘钥明文进行非对称加密，得到秘钥密文，并将此密文回传到病毒服务器：

3） 解密消息

病毒给被攻击者显示的勒索信息，是一段通过base64编码加密的密文，将这些密文解密，得到勒索信息明文如下：

解密后的勒索信息文本包含四种语言：英语、法语、意大利语、韩语。

图注：解密的部分韩语消息内容

4）回传信息

病毒将被攻击者信息回传给病毒作者。信息内容包括被加密系统的硬件和系统信息以及加密使用的秘钥。

5） 遍历磁盘

病毒进入C盘只对用户目录进行遍历加密，其他目录不做处理。而进入其它磁盘，则遍历所有文件，并对支持的文件类型进行加密。

该病毒支持加密的文件类型共10大类，包括167个后缀类型。

6） 文件加密

病毒将原文件内容先进行Base64编码，然后采用密钥加密得到密文，最后用密文内容替换原文件内容。

同时，对于文件名进行判断，加密过的文件，不再进行加密，避免多次加密。

勒索病毒千变万化

截获样本对抗攻击

华为截获的PyLocky病毒样本代码功能流程明确，会对被感染系统的内存大小进行判断，以此来对抗与勒索软件攻击。同时，华为安全专家发现其代码中存在一处bug，由于病毒会对除C盘以外磁盘上的文件进行加密，所以当系统盘不是C盘时，病毒对系统盘的操作系统文件也会进行加密，这将最终导致操作系统无法启动，也就无法达成勒索的目的。

PyLocky病毒防护办法

基于安全专家对该病毒的详细分析，华为已经启动了一套完整的应对方案，可以帮助客户应对该事件，避免造成更大的风险和损失，这些方案包括：

★ 文件检测：华为FireHunter6000系列沙箱产品

★联动防护：华为USG系列下一代防火墙

★关闭端口：关闭系统中不必要的文件共享权限和服务端口

★ 警惕邮件：不要打开陌生的、来源不明的邮件，以及邮件中的链接和附件

★及时更新：及时更新操作系统以及应用软件，修补存在的漏洞

★数据备份：关键数据要做好备份，当其中一份数据出现问题时可及时恢复

与此同时，建议将华为Firehunter6000系列沙箱以及USG系列下一代防火墙的检测引擎和病毒库升级到最新版本，这样即可对该样本进行快速检测。

华为未然实验室

华为未然实验室建立了国内领先的安全能力生产平台，通过多种合法渠道收集恶意样本，汇总到海量样本管理系统中，再经过快速分析转化，形成安全特征库，发布给全球销售的安全产品，使客户网络在第一时间具备最新的安全防护能力。华为未然实验室在努力积累传统安全能力的同时，聚集前沿技术，深耕细分领域技术，形成了多个富有技术特色的专业型安全实验室。我们的研究团队与安全产品及解决方案一起，为华为客户提供积极主动的安全防御体系。

责任编辑：