01概  况

近日，国外某独立恶意软件安全研究人员曝光了一个新型的勒索病毒——EvaRichter勒索病毒。EvaRichter勒索病毒的入侵版图正在不断扩张，已有部分企业被感染。该病毒一旦渗入系统，就会对存储在计算机上的所有文件进行加密，加密后，增加由随机字母和数字组成的加密后缀，例如.Y8o3b。

点击添加图片描述（最多60个字）

02病毒情况

美创安全实验室第一时间拿到相关病毒样本，经分析发现，EvaRichter勒索病毒运行后首先删除文件的卷影副本。接着，采用高强度的RSA+salsa20算法对存储在计算机上的所有文件进行加密。加密后，影响用户关键业务运行，且暂时无法解密。

点击添加图片描述（最多60个字）

EvaRichter勒索病毒采用了高强度的代码混淆技术，核心的勒索病毒代码被多层封装起来。经研究发现，EvaRichter勒索病毒与之上个月流行的GermanWiper勒索病毒的相似度高达82%，因此，这款勒索病毒极有可能是GermanWiper勒索病毒的最新变种。至于EvaRichter勒索病毒之后会不会大面积传播，需要持续的关注与跟踪，故提醒各政企机构提高警惕！

03详细信息

EvaRichter勒索病毒使用了类似微信的图标，如图：

该勒索病毒会修改桌面壁纸为蓝色，如图：

点击添加图片描述（最多60个字）

并在桌面上留下勒索信息文件，提示受害者如何缴纳赎金获取解密工具，文件信息如下：

点击添加图片描述（最多60个字）

访问黑客留下的解密网址，如图：

点击添加图片描述（最多60个字）

输入勒索提示信息中的Access Code码之后，如下所示：

点击添加图片描述（最多60个字）

点击添加图片描述（最多60个字）

勒索赎金七天之内为0.1521163BTC，相当于1278美元。

04防护措施

为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

点击添加图片描述（最多60个字）

✦ 无诺亚防勒索防护的情况下：

在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加由随机字母和数字组成的加密后缀，并且无法正常打开。

点击添加图片描述（最多60个字）

✦ 开启诺亚防勒索的情况下：

点击添加图片描述（最多60个字）

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

点击添加图片描述（最多60个字）

✦ 开启堡垒模式的情况下：

为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。

点击添加图片描述（最多60个字）

美创安全实验室再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：

（1）及时给电脑打补丁，修复漏洞。

（2）对重要的数据文件定期进行非本地备份。

（3）不要点击来源不明的邮件附件，不从不明网站下载软件。

（4）RDP远程服务器等连接尽量使用高强度且无规律的密码，不要使用弱密码。

（5）尽量关闭不必要的文件共享。

（6）尽量关闭不必要的端口。