1、基本情况

　　近期出现了一款伪装成docx文档的新型勒索病毒，该勒索病毒使用RSA加密算法，加密后的文件无法还原。

　　2、攻击原理

　　经研究发现，该勒索病毒具有反机器学习能力，其采用Python语言编写，并采用PyInstaller封装，同时使用Inno Setup Installer和PyInstaller，会增加静态分析以及基于机器学习解决方案的难度。

　　PyLocky主要通过垃圾邮件进行传播，病毒母体伪装成docx文件图标，其攻击目标以欧州国家为主，有些变种样本，还使用了正规的数字签名，签名信息为LA CREM LTD，该勒索病毒使用RSA加密算法，加密后的文件无法还原。

　　3、影响范围

　　该勒索病毒会对以下后缀名的文件进行加密：

　　? 一般文件

　　"dat", "keychain", "sdf", "vcf"

　　? 图片文件

　　"jpg", "png", "tiff", "tif", "gif", "jpeg", "jif", "jfif", "jp2", "jpx", "j2k", "j2c", "fpx", "pcd", "bmp", "svg","3dm", "3ds", "max", "obj", "dds", "psd", "tga", "thm", "tif", "tiff", "yuv", "ai", "eps", "ps", "svg", "indd","pct"

　　? 视频文件

　　"mp4", "avi", "mkv", "3g2", "3gp", "asf", "flv", "m4v", "mov", "mpg", "rm", "srt", "swf", "vob", "wmv"

　　? 文档文件

　　"doc", "docx", "txt", "pdf", "log", "msg", "odt", "pages", "rtf", "tex", "wpd", "wps", "csv", "ged", "key", "pps","ppt", "pptx", "xml", "json", "xlsx", "xlsm", "xlsb", "xls", "mht", "mhtml", "htm", "html", "xltx", "prn", "dif","slk", "xlam", "xla", "ods", "docm", "dotx", "dotm", "xps", "ics"

　　? 音频文件

　　"mp3", "aif", "iff", "m3u", "m4a", "mid", "mpa", "wav", "wma"

　　? 程序源文件

　　"msi", "php", "apk", "app", "bat", "cgi", "com", "asp", "aspx", "cer", "cfm", "css", "htm", "html","js", "jsp", "rss", "xhtml", "c", "class", "cpp", "cs", "h", "java", "lua", "pl", "py", "sh", "sln", "swift","vb", "vcxproj"

　　? 游戏文件

　　"dem", "gam", "nes", "rom", "sav"

　　? 压缩文件

　　"tgz", "zip", "rar", "tar", "7z", "cbr", "deb", "gz", "pkg", "rpm", "zipx", "iso"

　　? 数据文件

　　"ged", "accdb", "db", "dbf", "mdb", "sql", "fnt", "fon", "otf", "ttf", "cfg", "ini", "prf", "bak", "old", "tmp","torrent"

　　4、处置建议

　　请用户注意，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

　　1）不要点击来源不明的邮件附件，不从不明网站下载软件；

　　2）及时给主机打补丁(永恒之蓝漏洞补丁)，修复相应的高危漏洞；

　　3）对重要的数据文件定期进行非本地备份；

　　4）关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等；

　　5）RDP远程服务器等连接使用强密码，不要使用弱密码；

　　6）安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能。