一、传播方式: 可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播 二、加密后缀名: .TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、 .ALC0、.ALC02、.ALC03、.RESERVE、.Ox4444等 三、感染特征: 1、加密文件目录下会存在HOW_TO_BACK_FILES.txt的勒索说明文件。 2、开机自启动,注册表项为 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。 3、%LOCALAPPDATA%或%APPDATA%目录存在病毒复制体。 4、%PUBLIC%或%ALLUSERSPROFILE%变量路径存放密钥ID文件。 5、%temp%目录存在xxxxxxx.tmp.bat 四、加密方式: RSA2048与RSA1024算法 五、.bat脚本功能 1、删除磁盘卷影 2、删除远程桌面连接信息 3、删除日志信息。 六、防护建议 1、及时给电脑打补丁,修复漏洞。 2、对重要的数据文件定期备份,且备份文件应与主机隔离。 3、更改账户密码,设置强密码,避免使用统一的密码。 4、如果业务上无需使用RDP的,建议关闭RDP。对3389等端口进行封堵,防止扩散! 5、对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接。