敲詐者病毒VirLocker再次來襲？如何防范VirLocker病毒(內含恢復指南)

敲詐者病毒VirLocker再次來襲?如何防范VirLocker病毒(內含恢復指南)。VirLocker絕對不是什麼新的病毒, 它把受害者的計算機搞得一團糟已多達數年。VirLocker是主流多態性敲詐者病毒的首例並且它不給它的受害者留下痛苦的代價。

VirLocker 能夠像其他惡意軟件一樣從它的作者那裡傳播開來, 但是VirLocker在感染其他用戶時做了優化。 因為每一份被VirLocker感染的文件都變成了它自身，許多用戶會不小心地把一份受感染的文件發送給朋友和同事，所以備份也被感染了,甚至應用程序和可執行文件都會不安全。 基本上, 被VirLocker感染後, 你不可以信任受影響計算機上的任一單個文件。當嘗試去清理計算機時就遇到一個難題，因為沒有什麼可以信任並且每個你使用的工具都被感染了。甚至當你嘗試去下載一個工具來幫你都成了問題，因為如果 VirLocker 運行在計算機上的話， 它會試圖去感染新的文件即使在那個文件被打開之前。然而，如果你發現自己的計算機被這個變體感染了，千萬不要嘗試去移除它!本文不僅討論敲詐者病毒是如何運行的, 還會向你展示如何在不支付贖金的情況下取回你的文件。

VirLocker的多態功能

VirLocker的多變能力使得每個人都頭疼， 研究員、受害者和安全公司等等。 每次VirLocker 把自身添加到一個文件, 實際上該文件在許多方面都不同於它自身的其他版本。 VirLocker 可以添加“偽代碼”到它自身的某些部分從而使得文件不同, 它可以在惡意軟件的主要加載器中使用不同的API以避免 部分指紋識別，它可以使用不同的 XOR 和 ROL 種子使得可執行文件的加密內容完全不同等等。多態功能的這種級別使得它非常難以處理。即使當每個文件中的解壓存根不同時，它通常被用來識別每個變種，它只留下行為和啟發作為一種可行的檢測方法。

正如你看到的上面的VirLocker感染文件圖表所示，在每個創建請求中如果有效負載存根可以不一樣,並且加密代碼總是被不同地seed化, 嵌入的原始文件當然也會總是不同,取決於它所攻擊的文件, 並且資源僅僅是他所攻擊的原始文件的一個小圖標。這留下了的非常少的適用於檢測。

VirLocker的執行鏈

VirLocker的執行絕不簡單,比起我們已經看到的在單一情況下敲詐者病毒場景，它真正反映了多種保護類型。當執行感染時, FUD包裝器(可以在某些方面多態本身)解包第一個由Base64和XOR混合的解密函數且總是不同地seed化。這個新的解密函數然後解密另一個新的由XOR/ROL混合的解密函數且總是不同地seed化。這個解密函數最後得到惡意代碼並打算在計算機上運行。此時此刻，敲詐者病毒檢查它是否已經感染了計算機，如果是，那麼是否支付贖金?如果得到贖金，它就會變得善良且馬上解密並提取被它植入自身的原始文件，最後關閉。如果用戶被感染但是沒有支付贖金，它就會在沒有打開的情況下再次打開屏幕鎖。如果是一個新的受害者，敲詐者病毒就會打開植入它自身的文件使得用戶認為一切正常。比如，如果用戶B接到一張來自朋友A的受感染的圖片，一旦用戶B打開那個文件，敲詐者病毒就會向他們展示植入自身的圖片，但是在後台繼續感染計算機。這是敲詐者病毒如何自我復制的背景。

樣本：原始正常文件被植入到病毒的樣子。

VirLocker 概述

上圖顯示了VirLocker的運行原理和呈現出的問題。不僅是病毒難以檢測，它還能夠在沒有惡意軟件作者的幫助下繼續存在。如果任何曾被VirLocker 感染過的計算機碰巧發送出任意受感染的文件並認為它只是一個屏幕鎖，那麼這些文件將感染更多計算機。這種不斷循環的感染將導致Virlocker像野火一樣蔓延。一旦打開VirLocker ，它就會在計算機上將自身添加到附近的每一個文件，僅僅從圖片到實際的應用程序。點擊這些受感染的文件只會使得敲詐者病毒再次運行，或者在一個新的受害者情況下去感染他們。只有在這台計算機上“支付”了贖金以後，這些文件才會提取出他們內部的“正常版本”。由於這個敲詐者病毒帶來的各種發狂，它已被證明是一個了不起的感染傳播方法。想象一下你得到這個受感染文件並像你聽說的那樣僅僅把它看做是一個屏幕鎖你以某種方式設法刪除它並認為你不受阻礙。因為後綴名是隱藏的，你沒有看見你計算機上的每一個文件現在都有一個在原始後綴後面被添加了.exe的後綴。你把你的簡歷發送給一家你正在申請的公司，接著很快整個商業都被感染了。