腾讯安全：勒索病毒Mr.Dec“偷渡”国内暂无解密 政企单位注意防范

加密重要文件、支付高额勒索费用、窃取个人隐私、伺机发起攻击……这样的勒索病毒你怕吗？近日，腾讯安全御见威胁情报中心监测发现一例勒索病毒Mr.Dec家族最新变种，该病毒主要针对政府部门、企业等机构进行攻击。相较过往出现的Mr.Dec勒索病毒，该变种采用RSA（非对称）+AES（对称加密）混合加密方式，大幅提升加密安全性，安全厂商暂无解密方案。腾讯安全提醒政企机构务必提高警惕加以防范，目前腾讯御点终端安全管理系统可全面拦截并查杀该病毒。

（图：勒索病毒Mr.Dec变种勒索展示信息）

据腾讯安全技术专家介绍，勒索病毒Mr.Dec家族最早出现于2018年9月，由国外安全研究人员监测发现。一般被Mr.Dec勒索病毒加密后，文件名会被修改为（原始文件名.[ID]随机16字符[ID]）；病毒破坏完成，第一时间会在桌面全屏展示勒索信息，并限受害者在指定的时间内邮件联系支付酬金，过期则不予解密。

勒索病毒强势作风与其挖空心思的攻击手段不无关系。首先，病毒作者将公钥信息直接写入注册表，私钥信息加密后存放到注册表中；其次，为防止其他应用锁定文件，该病毒在加密文件时会将占用文件的进程结束；该病毒会删除卷影信息，避免中招用户利用卷影信息还原受损文件。除Windows目录和勒索信息文本外，中招电脑的其他文件均会被加密，给用户隐私及财产安全造成一定的威胁。

值得注意的是，随着攻击技术的迭代升级，病毒作者在利用勒索病毒感染用户的同时，也时常伴有入侵攻击事件，包括通过任何可能的途径在内网中完成传播扩散。对此，腾讯安全反病毒实验室负责人马劲松提醒，建议政企机构应从多个方面考虑，采取综合措施，强化系统安全，并提出如下建议：

首先，尽量关闭不必要的端口，如445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆；其次，尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问；另外，避免采用弱口令密码，并定期更换密码。

对没有互联网需求的服务器内部访问设置响应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。在终端和服务器部署专业防护软件，推荐在Web服务器部署腾讯云等具备专业安全防护能力的云服务。同时，建议全网安装御点终端安全管理系统，该系统具备策略管控、终端杀毒、修复漏洞统一管控等全方位的安全管理功能，可帮助企业管理者了解、管理企业内网安全状况、保护企业安全。

（图：腾讯御点终端安全管理系统）

尽管国内当前暂未发现Mr.Dec攻击个人用户的行为，但是腾讯安全专家依旧提醒个人用户注意日常开启电脑管家等安全软件保护设备不受病毒攻击。此外，个人用户可使用电脑管家文档守护者，利用磁盘冗余空间自动备份数据文件，在遭遇勒索病毒攻击后，可有机会完整恢复数据，真正做到有备无患。