.locked勒索病毒来势汹汹该怎么办？

article/2025/8/26 14:37:52

一、勒索病毒来势汹汹

从8月28日开始，多个社交媒体以及安全技术社区均有用户称遭遇“.locked”后缀勒索病毒攻击，计算机文件被病毒加密，用户“中招”后，需支付0.2比特币“赎金”(约2.7万人民币)。截止当前，已经确认来自该勒索病毒的攻击案例超2000余例，且该数量仍在不断上涨，造成诸多企业的恐慌。

面对勒索病毒大爆发，传统单一防护措施已经失效，客户亟需“防护-拦截-灾备”体系化防护措施

二、什么是._locked勒索病毒？

如上图所示，开机会出现一个网页形式的勒索信encrypted，勒索信上有ID信息，还有黑客的邮箱信息，勒索信告诉你你的数据被加密了，你需要支付相应的赎金来拿回你的数据。

其次当你进入到了桌面后会发现所有的文件图标被篡改了，并且无法正常打开，再仔细看看文件属性，你会发现后缀名多了一段._locked，并且每个文件夹下还有一个how_to_decrypt的html文件，下图为中毒后文件夹的情况：

三、如何有效防范勒索病毒？

● 在勒索事件频发、勒索病毒攻击常态化趋势下，勒索病毒已然成为当前最热门安全话题之一，一旦遭遇勒索攻击，将导致数据丢失、业务停摆、经济损失、政府公信力受损、企业声誉降低，对组织机构造成无法估量的损失。

● 但由于勒索病毒变异率高，使得基于病毒特征库的方式无法查杀新型变异病毒，并且一旦绕过网络安全防护开始进行加密操作，用户没有任何有效阻断措施，只能束手无策。同时，现有的灾备体系无论从备份的颗粒度以及灾备恢复的时效性，都很难保证数据不丢、业务少停，所以传统的单一解决方案很难进行有效防护。

● 在基于对大量勒索病毒攻击事件的样本分析之后，科力锐发现勒索变种一直在变的是攻击形式，勒索病毒永恒不变的是数据读取加密方式，为此结合勒索病毒攻击流程中的前期网络攻击、中期读取加密以及后期勒索阶段，科力锐推出“事前防护+事中拦截+事后应急恢复”三位一体的勒索病毒专项体系化解决方案，为客户数据安全构筑起多维度、立体化的安全防线。

四、事前防护

事前已知/未知勒索病毒防护

科力锐勒索拦截系统提供对已知勒索病毒以及未知勒索病毒的防护：

已知勒索病毒防护：

我司基于对大量已知勒索病毒的行为分析，形成了独有的已知勒索行为DNA指纹库，针对文件系统层、操作系统层、磁盘读写层，全方位动态追踪检测。将这三个层次的行为与我司独家的已知勒索行为DNA指纹库做比对，去动态追踪检测非法的进程/行为/离散性/调用栈等。确保对于已知勒索病毒的有效防范。同时，我司在云端也创建了勒索情报中心，负责收集最新的勒索情况，分析最新的勒索病毒行为特征，定期赋能更新到集中管控平台。

未知勒索病毒防护：

由于每台主机，每台应用，都会有自己唯一的行为特征，比如微信、QQ都会有自己的进程、指令集、API接口、IO调用栈、文件信息熵等等。我司设计通过AI智能学习引擎，去学习每台主机的硬件特征、指令特征、进程特征、读写特征以及文件离散性特征等。然后对每台主机进行行为建模分析，生成唯一的合法行为DNA指纹库，所有偏离合法行为的进程/行为/调用栈/信息熵等，都会去深度检测，触发报警机制，确保对未知勒索病毒的防护。

五、事中拦截

事中勒索加密拦截阻断

科力锐勒索拦截系统提供事中勒索加密拦截阻断，一旦勒索病毒开始数据读取加密，勒索拦截系统可针对性的阻塞勒索病毒加密进程，让主机带毒运行拒绝被勒索：

通过在高危区域、数据读取的“第一个位子”等智能部署诱饵文件，基于科力锐多年来在文件系统、文件磁盘数据块等读写规律的洞察和研发积累，利用独创的专利技术，确保勒索病毒攻击/加密时一定优先加密诱饵文件。为了防止勒索诱饵被跳过以及减少主机资源的占用，让勒索诱饵轻量有效，引入稀疏矩阵算法，让诱饵更真实，降低了计算访存比，占用的资源也更少。

在确保勒索病毒第一个进攻的是诱饵文件后，通过让勒索病毒从指定诱饵文件开始，按照一定的规则循环遍历图结构中的所有联通点，让勒索病毒无法返回完成对诱饵文件的完成值，从而阻塞勒索病毒加密的进程。为了防止诱饵很快被加密完成，引入图遍历算法自动生成诱饵森林，并且根据勒索病毒的进程自动匹配诱饵数量，确保堵塞勒索病毒所有加密进程；同时，引入深度优先搜索算法，让勒索病毒循环遍历，确保让勒索病毒一直在加密的路上，一直无法返回。