近日，瑞星通過網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)國內(nèi)首次捕獲到Gerber勒索病毒新變種“Gerber5”，該病毒運行后會對系統(tǒng)的“當(dāng)前用戶文件夾”中的所有文件進(jìn)行加密，包括：圖片、文檔、視頻等默認(rèn)保存的文件，之后還會對所有磁盤進(jìn)行加密，最后彈窗提示用戶支付贖金解鎖文件，該病毒目前無法恢復(fù)。瑞星ESM及瑞星之劍等產(chǎn)品均可對該病毒進(jìn)行防御和查殺，避免用戶文件被病毒加密。

　　圖：加密當(dāng)前用戶文件夾

　　圖：勒索加密后彈出界面

　　圖：瑞星ESM成功攔截截圖

　　圖：瑞星之劍成功攔截截圖

　　瑞星安全專家介紹，這已不是瑞星第一次率先捕獲最新的勒索病毒，之所以可以第一時間發(fā)現(xiàn)主要源自于瑞星一直在勒索病毒領(lǐng)域的深耕。“WannaCry”全球爆發(fā)時，瑞星便開始了全面對抗勒索病毒的工作，并成功開發(fā)出了全球首創(chuàng)的勒索病毒解決方案——“瑞星之劍”，有效阻止已知與未知勒索病毒對用戶電腦發(fā)起的攻擊。

　　2018年11月23日，瑞星推出了“劍防勒索——防御勒索病毒專題”，實時更新瑞星最新截獲的勒索病毒及病毒分析報告。同時，根據(jù)勒索病毒的威脅數(shù)據(jù)判斷威脅程度，對其進(jìn)行一星到五星的星級分類，并給出相應(yīng)的防御技巧、解決方案等，盡可能地做到提前預(yù)警、積極防御，保護(hù)更多的個人和企業(yè)不受勒索病毒的侵害。

　　瑞星安全專家提醒廣大用戶，使用弱口令、不打補(bǔ)丁等方式就是在給攻擊者敞開大門。因此除了安裝殺毒軟件之外，還要及時更新系統(tǒng)補(bǔ)丁，不使用弱口令密碼，做好網(wǎng)絡(luò)隔離，不斷提高網(wǎng)絡(luò)防御等級，才能夠徹底避免遭受此類病毒攻擊。目前，瑞星公司所有產(chǎn)品均可對其進(jìn)行攔截。

　　病毒詳細(xì)分析

　　病毒首先會獲取用戶文件夾路徑

　　圖：獲取用戶文件夾路徑

　　遍歷用戶文件夾中的文件并加密

　　圖：遍歷用戶文件夾

　　圖：遍歷文件加密

　　之后再遍歷所有磁盤，遍歷文件加密

　　圖：遍歷所有磁盤

　　加密時會排除Windows/Program Files/Program Files (x86) 目錄，防止系統(tǒng)無法正常運行。

　　圖：遍歷文件加密

　　將原始文件名追加上后綴

　　圖：修改文件后綴

　　最后彈出勒索窗口，并將桌面背景設(shè)置為勒索信息

　　圖：勒索界面

　　防范措施

　　1、不下載、打開可疑文件。

　　2、不打開可疑郵件附件，防止病毒通過釣魚郵件植入。

　　3、及時更新系統(tǒng)補(bǔ)丁，防止病毒通過漏洞植入。

　　4、不使用弱口令賬號密碼，防止病毒通過弱口令植入。

　　5、安裝殺毒軟件，保持防御開啟，攔截查殺病毒。

　　6、安裝勒索防御軟件，防止文件被加密。