近年来，勒索病毒层出不穷，从“让你哭”的WannaCry到“魔鬼撒旦”Satan，每一次的变种升级都更加嚣张肆虐，让全球电脑用户陷入集体恐慌。

近日，国内首例新型勒索病毒出现，该病毒针对Linux服务器，并实现Windows跨平台攻击，其加密后缀为.lucky。传播模块复用了Satan的传播方式，在Linxu下可自动化传播。

被这种新型勒索病毒感染的文件，在被加密后文件名变为：

从上图可以看到，文件名前被插入一个邮箱地址，文件正常后缀之后被插入一段代码，最后是.lucky后缀。那段代码应该是加密文件的特征码。释放病毒的黑客留下一个名叫_How_To_Decrypt_My_File_.Dic的文本文件，黑客在文件中表示，如果想要恢复文件，需要支付1比特币到给出的钱包地址。

有意思的是，这次出现的新型勒索病毒和前面提到的WannaCry和Satan有一个共同点，被感染的电脑用户需要支付赎金才可解开被加密文件，而赎金就是——比特币。

这几年比特币的走势呈迅猛增长的态势，尤其是2017年，是比特币发展史中最重要的一年，全年涨幅高达1700%，2017年12月比特币峰值高达18674美元。

尽管2018年的比特币市场大幅下跌，并不理想。但似乎并没有影响追逐区块链的投资者，对比特币的疯狂程度似乎也没有减少多少。同样，犯罪分子依然青睐虚拟货币，其中虚拟货币钱包地址的隐蔽性是最重要的原因。然而，这也导致了大量加密货币勒索病毒和挖矿病毒的爆发。

勒索事件的背后，却是一套成熟的体系。

在病毒交易、邮件传播等环节都日渐成熟的暗网，已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作，互相交换资源和数据。

这是虚拟空间对现实世界实施的攻击。

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。   下一代防火墙用户，可开启IPS和僵尸网络功能，进行封堵。

3、查找攻击源：手工抓包分析或借助深信服安全感知平台。

4、查杀病毒：推荐使用可信 EDR产品进行查杀。

5、修补漏洞：打上以下漏洞相关补丁，漏洞包括“永恒之蓝”漏洞，JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞（CVE-2017-12615）、Weblogic WLS 组件漏洞（CVE-2017-10271）、apache Struts2远程代码执行漏洞S2-045、Apache Struts2远程代码执行漏洞S2-057。

来源：

• 深信服科技

• 鸿萌数据安全

• 全球创新论坛

往期热门资讯：                                        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com