警惕勒索病毒，互联网时代的新型敲诈行为

近日，Locky勒索病毒愈演愈烈，国内相继有很多家大中型企业、政府单位内部员工或高层领导的电脑、手机感染了该病毒，导致重要文件被加密，需要缴纳赎金才能恢复正常。
这不但影响了组织正常的业务运行，同时还给组织和个人带来了不小的经济损失。深信服建议各单位的IT部门予以重视和做好防范措施！

从深信服应急响应中心监测到的情况来看，很多感染病毒的终端中都有不少业务运营、财务报表、软件代码等重要的数据文件，危害很大。

这类病毒一般是通过邮件方式进行传播，黑客对目标对象发送带有附件的恶意邮件，员工或者领导一旦打开附件后，电脑、手机上的各种重要文件，包括软件源代码、Word、PPT、PDF、图片等都会被加密，无法正常使用。

此外，黑客还会公然修改终端的背景图片，提出勒索要求，需要员工缴纳数千元不等的赎金才能恢复这些文件。

目前，深信服已成功提取了数十万病毒特征，用户只需要升级NGAF最新的安全特征库，就能够有效地拦截95%以上的Locky病毒入侵行为。建议各行业用户及时做好防范应对措施，避免不必要的经济和业务损失，更多应对对策，详见下文！

什么是Locky勒索病毒
根据深信服安全专家的研究，Locky勒索病毒主要以邮件和恶链木马的形式进行传播。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。

接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。

然后，将加密公钥写入到注册表中，遍历本地所有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密；

加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金（一般为比特币）。