在最近,我司接到的求助信息中,有一种后缀为520的勒索病毒引起了我司的关注,有很多客户都遭受到了这种勒索病毒的攻击,我们已经找到了解决办法。
520病毒是一种基于file勒索病毒代码的加密病毒。在主动攻击活动中已经发现了这种威胁。有几种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破,垃圾邮件,损坏的软件安装程序,洪流文件,伪造的软件更新通知和被黑的网站。
520勒索病毒以一种或另一种方式进入计算机后,它将更改Windows注册表,删除卷影副本,打开/写入/复制系统文件,产生在后台运行的factura.exe进程,加载各种模块等。
加密数据后,file勒索病毒还与Command&Control 服务器联系,为每个受害者发送一个RSA私钥。最终,该恶意软件会加密图片,文档,数据库,视频和其他文件,仅保留系统数据,还有其他一些例外。
一旦在目标系统上执行了520勒索病毒的程序,就会触发攻击的第一阶段。一旦520文件病毒进行了初步的恶意修改,它便可以激活内置的密码模块,从而通过该模块设置数据加密过程的开始。在攻击的此阶段,520病毒会扫描所有系统驱动器以寻找目标文件.
