近期，一种被称为“加密勒索类”软件病毒通过电子邮件广泛传播，用户感染此病毒后，造成重要数据资料不可恢复，同时网上大量付款用户也不能解密，此种行为的诈骗事件常有发生。

一．病毒描述

勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。

勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

近期流行的Locky病毒是通过邮件传播的一种典型勒索软件。Locky能够通过社会工程学手段试图诱骗用户打开电子邮件的Microsoft Office附件。一旦运行doc文件，嵌入的宏会下载病毒体并感染主机，其使用RSA-2048和AES-1024加密算法来加密大量用户文件，然后要求受害者支付赎金，以恢复自己的文件，如下图所示。

二．防护策略

1、用户要加强安全意识的培养和教育。

2、不要随意打开不明来源的邮件附件和点击邮件正文中的可疑网址链接，诸如：

3、 不要随意打开内容可疑的邮件附件（Word/PDF等）以及附件中的压缩文件里面的js文件。

4、安装一种防病毒软件并保持病毒库持续更新。

5、确保操作系统的安全更新补丁能够自动升级。

6、本地重要文件数据定期/不定期进行异地备份。

网络与教育技术中心

2016年3月24日