文件后缀名变成.aaa？这是敲诈者病毒作祟！

　　该病毒变种会永久破坏电脑中的原始文件，并且用RSA-2048加密文件，如果中招，短期内基本无法解密文件。病毒幕后黑手以此向受害者勒索500美元，如果在指定时间未支付，赎金还要加倍，否则很难恢复被加密的文件。

　　针对敲诈者类病毒，360安全卫士已独家推出免疫功能——“文档图片防护”，可以全面拦截此类病毒的加密破坏行为。另外根据在线杀毒扫描平台VirusTotal检测，360是国内唯一能检出CryptoLocker病毒最新变种的安全产品。

　　病毒样本分析

　　1、自我拷贝到临时目录，固定+随机字符串命名自身，删除原病毒。

　　2、修改注册表设置自启动，启动项是一组随机加密密钥

　　不同时间启动项不同

　　3、删除文件卷影副本，使得文件无法通过vssamin恢复

　　4、加密指定类型文件

　　病毒加密的文件主要包括如下类型，几乎覆盖所有重要文件资料的后缀名:

　　.pef.srw.x3f.der.cer.crt.pem.odt.ods.odp.odm.odc.odb.doc.docx.kdc.mef.mrw.ref.nrw.orf.raw.rwl

　　.rw2.mdf.dbf.psd.pdd.pdf.eps.jpg.jpe.dng.3fr.arw.srf.sr2.bay.crw.cr2.dcr.ai.indd.cdr.erf.bar

　　.hkx.raf.rof.dba.db0.kdb.mpq.vfs0.mcm.eta.m2.lrf.vpp.ff.cfr.snx.lvl.arc.ntl.fsh.itdb.itl

　　.mddata.sidd.sidn.bkf.qic.bkp.bc7.bc6.pkpass.tax.gdb.qdf.t12.t13.ibank.sum.sie.zip.w3x

　　.rim.psk.tor.vpk.iwd.kf.mlx .fpk.dazip.vtf.vcf.esm.blob.dmp.layout.menu.ncf.sid.sis

　　.ztmp.vdf.mov.fos.sb.itm.wmo.map.wmo.svg.cas.gho.syncdb.mdb.ackup.hkdb.hplg.hvpl.icxs

　　.docm.wps.xls.xlsx.xlsm.xlk.ppt.pptx.pptm.mdb.accdb.pst.dwg.xf.dxg.wpd.rtf.wb2.pfx.p12

　　.p7b.p7c.txt.jpeg.png.rb.css.js.flv.m3u.py.desc.xxx.wotreplay.big.pak

　　5、提示受害者打开指定网站，向其勒索支付赎金来恢复文件

　　受害者打开指定网站之后的提示：

　　受害者如想恢复被加密的文件，需要在指定时间内支付500美元，如果不及时支付，病毒索要的赎金则会翻倍为1000美元。

　　由于病毒网站使用暗网连接进行敲诈，很难定位到病毒幕后黑手。一旦中招将损失巨大，必须以预防为主。

　　敲诈者病毒的防御措施

　　1、定期备份重要文件;

　　2、操作系统和IE、Flash等常用软件及时打好补丁，以免病毒利用漏洞自动入侵电脑;

　　3、不轻易打开陌生人发来的可疑文件和邮件附件;

　　4、360安全卫士已独家推出免疫敲诈者病毒的防护功能——“文档图片防护”，可以全面拦截此类病毒的加密破坏行为。

　　根据在线杀毒扫描平台VirusTotal检测，全球仅两款杀毒软件能够检出此CryptoLocker敲诈者病毒的最新变种，360是国内唯一能检出该病毒的安全产品。

　　来源：中原财经网http://finance.ll.gov.cn/detail/detail_1_21272.html