勒索： Locky 出品：美国国家安全局 翻译：樊山 什么是 Locky Locky是一个多级勒索限制访问被感染的系统文件直到支付赎金。 网络行为 诱使受害者 开启和点击社会工程垃圾邮件的附件。 在许多情况下，这些电子邮件 包含获得受害者的凭据 并收集来自受害人 主机上的个人信息的能力。Lock y的主 要传送机制是通过微软 Word，Excel或Outlook附件。 已知 Locky目标包括各种 普通公民 ，医院和政府网络。 针对医院的研究技 术包括通过虚假单据引诱收件人点击附件并提示用户启用宏。一旦执行，它会指 挥和控制服务器产生一个传送勒索支付到主机。 然后，被感染的主机上的文件 被 加密，并提供有关如何支付赎金 的说明。 增长和外部事件 Locky攻击持续弹性对抗措施通过更新 施，代码更正 并增加新的功能 。观察 分析在研究的每个阶段显示计划阶段攻击周期停顿同时每个阶段 持续呈指数级 增长。据Trustwav e报道，在过去的7天内，有针对性的邮件数量增长了 200,000， 在此期间发送的电子邮件 中Locky垃圾邮件 占近18％。在感染的 顶点，每小时 1000设备进行 回拨C2服务器。 目前，每天约有 1,000台设备被发现。 Locky通过针对 医院揭示勒索的 TTP一个显著变化。 已感染的几家医院 以 很可能包括 密歇根州的弗林特， 在洛杉矶 的好莱坞长老会医疗中心 ，三德医院和 加拿大至少 一所医院 。好莱坞长老会支付 40比特币的赎金（ $17,000 名美元） 重新获得网络功能 。据报道在德国的两家医院已经支付赎金，而密歇根州的弗林 特医院和一个德国医院 得以通过包括设备的成功重新映像 功能快速缓解恢复 。 Locky行为 Locky已被观察到 使用相同的 僵尸网络传输机制 进行勒索，如Dride x。变体 通常采用多级负载降低系统设计 恶意软件 传送模块化， 模糊分析 并躲避典型的企 业AV防御。几乎所有的变种采用含模糊 JavaScript ，或者放置启用宏的 Word 文档，然后执行第一阶段的 JavaScript 下载邮件附件 。当第二阶段的窗口可执 行文件被下载并执行 时， 一个可执行文件 从第二阶段可执行文件 资源段解压并进 一步执行。 一些变体将在 第三阶段以可执行文件的形式下载额外的资源 。下面的 图表凸显 Locky变异的常见功能。 Locky本身加载到内存中，设 置持久性机 制，加密文件和文档同时用自定义 扩展其重命名，删除 VSS快照，并改变桌面墙纸 。 缓解措施  为了减少攻击面，确保正确的 本地网络分段。  教育用户有关常见鱼叉式网络钓鱼战术和如何识别 ，以及预防感染。保 持用户对 不良安全性做法负责。  定期执行备份和保留 异地副本：Locky有加密您的 基于网络的备份文件 的能力；因此，建议每个系统 不仅备份 在域内而且 应场外存储复制 。  确保可靠的应用程序白名单（ AWL）策略，包括防止任何程序 从用户可 写文件位置的规 则，特别是％TEMP％位置（例如 C：\用户\ * \应用程序 数据\本地\ TEMP）。大多数 AWL产品有从允许执行 阻止％TEMP％目录 中的“默认”规则，而且组织也应保证被列入白名单的任何位置也防止 用户写入这些文件夹。  确保 HIPS规则拒绝运行未知的可执行文件 ，精心调校，并设置阻拦。 例如， McAfee的HBSS规则 3905和2297拒绝来自常见的恶意软件的 位置（例如临时目录）执行。规则 7010，7011，7035和是与美国国防 部的环境中额外的优化类似的规则 。自定义规则可以创 建拒绝注册表项 “HKEY_CURRENT_USER \ SOFTWARE \ Locky”的创建。  如果允许， 实施一个 注册表访问保护规则下阻止注册表键 /值创建 “HKCU \Software \locky”  确定被感染 的网络用户 ：如果在网络共享显示 .locky扩展名的文件，查 找文件所有者的每个文件夹中的“ _Locky_recover_instructions.txt ”文 件。这将有助于确定感染的用户 。  在电子邮件附件 禁用宏：在过去感染的发生率到极高后，微软特意将自 动禁止对 Word文档的宏 作为一项安全措施 。不要打开它。 主机系统破坏前后 截图是如果用户启用了 受感染 Word文档的宏时的展示， 它会自动破坏主机 系统。应当注意的是，破坏主机的附加方法包括发送已设计逃避 AV检测 JavaScript 文件附件。 犯罪分子希望你点击 [选项...]，打开宏。不这样做！ “Locky”设置你的墙纸，以确保你知道下一步该怎么做 IAD操作融合和分析产品 -IAD可扩展运营缓解措施缓解措施 指导意见