GarrantyDecrypt变种出现：“我是一个没有感情的勒索病毒”

最近，360安全大脑监测到一款GarrantyDecrypt勒索病毒的新变种开始在国内传播。该勒索病毒通过RSA结合salsa20对文件进行加密，被加密的文件后缀会被修改为“NOSTRO”。

根据360安全大脑的监测，该勒索病毒主要通过爆破远程桌面弱口令，远程登录后手动投毒进行传播。

“一个没有感情的杀手”：无差别攻击

近几年各类勒索病毒层出不穷，虽然目的都是勒索钱财，但却各有各的风格，而这款GarrantyDecrypt的变种就仿佛一个“没有感情的杀手”：加密过程严格遵守规则，且不区分文件类型，所有文件都不会放过！

具体来说，就是该病毒在每次加密一个文件之前，都会使用CryptGenRandom接口生成一个随机数做为密钥，这样就保证了“一个文件一个密钥”。同时，在加密文件后该勒索病毒会立即销毁内存中的密钥信息，避免用户在中毒后通过内存找出密钥信息来解密文件。

如此一番“斩草除根”的无差别攻击之后，中招用户便很难实现自救。而攻击者在完成加密之后，会在文件夹下创建#RECOVERY_FILES#.txt文件，留下勒索信息，要求用户联系对方。

360提醒管理员：服务器仍是重点目标

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，所以企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁。在此，360安全专家建议广大服务器管理员：

1. 多台机器，不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括：

a) 是否有新增账户

b) Guest是否被启用

c) Windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况