Gorgo勒索病毒使用.net开发,运行之后使用AES算法加密受害者文件,使用RSA算法加密密钥,没有攻击者的RSA私钥无法解密文件。Gorgo勒索病毒与FilesLocker勒索代码非常相似,疑似FilesLocker招募到合作伙伴,据报道国内已经有部分企业感染此病毒。
近日捕获到Gorgo勒索病毒,此病毒使用.net开发,运行之后使用AES算法加密受害者文件,使用RSA算法加密密钥,没有攻击者的RSA私钥无法解密文件。之前我们曾预警,FilesLocker勒索病毒作者在国内广泛招募合作伙伴,主要招募拥有大量肉鸡的攻击者和病毒传播技术的攻击者,如果一旦得逞,会有各种各样的犯罪分子,通过各种方法传播勒索病毒,未来可能会有很多精心编造的钓鱼邮件,各种吸引眼球的标题,诱导受害者下载运行勒索病毒。果不其然,几个月后Gorgo勒索病毒出现,与FilesLocker勒索代码非常相似,疑似FilesLocker招募到合作伙伴。据报道国内已经有部分企业感染此病毒,此病毒加密体系成熟,被加密后通常无法恢复,因此需要提高防范,防止被植入病毒。
".gif", ".apk", ".groups", ".hdd", ".hpp", ".log", ".m2ts", ".m4p", ".mkv",
".mpeg", ".epub", ".yuv", ".ndf", ".nvram", ".ogg", ".ost", ".pab", ".pdb",
".pif", ".png", ".qed", ".qcow", ".otp", ".s3db", ".qcow2", ".rvt", ".st7",
".stm", ".vbox", ".vdi", ".vhd", ".vhdx", ".vmdk", ".vmsd", ".psafe3", ".vmx",
".vmxf", ".3fr", ".3pr", ".ab4", ".accde", ".accdr", ".accdt", ".ach", ".acr",
".sd0", ".sxw", ".adb", ".advertisements", ".agdl", ".ait", ".apj", ".asm",
".awg", ".back", ".backup", ".sti", ".oil", ".backupdb", ".bay", ".bdb",
".bgt", ".bik", ".bpw", ".cdr3", ".cdr4", ".cdr5", ".cdr6", ".ycbcra",
".cdrw", ".ce1", ".ce2", ".cib", ".craw", ".crw", ".csh", ".csl",
".db_journal", ".dc2", ".pptm", ".dcs", ".ddoc", ".ddrw", ".der", ".des",
".dgc", ".djvu", ".dng", ".drf", ".eml", ".ppt", ".erbsql", ".erf", ".exf",
".ffd", ".fh", ".fhd", ".flp", ".gray", ".grey", ".gry", ".hbk", ".ibd",
".7z", ".ibz", ".iiq", ".incpas", ".jpe", ".kc2", ".kdbx", ".kdc", ".kpdx",
".ldf", ".lua", ".mdc", ".mdf", ".mef", ".config", ".mfw", ".mmw", ".mny",
".mrw", ".myd", ".ndd", ".nef", ".nk2", ".nop", ".vb", ".vip", ".vbs", ".sln",
".dxg", ".bat", ".cmd", ".jar", ".c4d", ".ape", ".nrw", ".ns2", ".ns3", ".ldf",
".ns4", ".nwb", ".nx2", ".nxl", ".nyf", ".odb", ".odf", ".odg", ".odm", ".orf",
".otg", ".oth", ".py", ".ots", ".ott", ".p12", ".p7b", ".p7c", ".pdd", ".pem",
".plus_muhd", ".plc", ".pot", ".pptx", ".py", ".qba", ".qbr", ".qbw", ".qbx",
".qby", ".raf", ".rat", ".raw", ".rdb", ".rwl", ".rwz", ".conf ", ".sda", ".sdf",
".sqlite", ".sqlite3", ".sqlitedb", ".sr2", ".srf", ".srw", ".st5", ".st8",
".std", ".stx", ".sxd", ".sxg", ".sxi", ".sxm", ".tex", ".wallet", ".wb2",
".wpd", ".x11", ".x3f", ".xis", ".ARC", ".contact", ".dbx", ".doc", ".docx",
".jnt", ".jpg", ".msg", ".oab", ".ods", ".pdf", ".pps", ".ppsm", ".prf", ".pst",
".rar", ".rtf", ".txt", ".wab", ".xls", ".xlsx", ".xml", ".zip", ".1cd", ".3ds",
".3g2", ".7zip", ".accdb", ".aoi", ".asf", ".asp", ".aspx", ".asx", ".avi",
".bak", ".cer", ".cfg", ".class", ".cs ", ".css", ".csv", ".db", ".dds", ".dwg",
".dxf", ".flf", ".flv", ".html", ".idx", ".js", ".key", ".kwm", ".laccdb", ".lit",
".m3u", ".mbx", ".md", ".mdf", ".mid", ".mlb", ".mov", ".mp3", ".mp4", ".mpg",
".obj", ".odt", ".pages", ".php", ".psd", ".pwm", ".rm", ".safe", ".sav", ".save",
".sql", ".srt", ".swf", ".thm", ".vob", ".wav", ".wma", ".wmv", ".xlsb", ".3dm",
".aac", ".ai", ".arw", ".c", ".cdr", ".cls", ".cpi", ".cpp", ".cs", ".db3", ".docm",
".dot", ".dotm", ".dotx", ".drw", ".dxb", ".eps", ".fla", ".flac", ".fxg", ".java",
".jtp", ".m", ".m4v", ".max", ".mdb", ".pcd", ".pct", ".pl", ".potm", ".potx",
".ppam", ".ppsm", ".ppsx", ".pptm", ".ps", ".r3d", ".rw2", ".sldm", ".sldx", ".svg",
".tga", ".wps", ".xla", ".xlam", ".xlm", ".xlr", ".xlsm", ".xlt", ".xltm", ".xltx",
".xlw", ".act", ".adp", ".al", ".dip", ".docb", ".frm", ".gpg", ".jsp", ".lay",
".lay6", ".m4u", ".mml", ".myi", ".onetoc2", ".PAQ", ".ps1", ".sch", ".slk", ".snt",
".suo", ".tgz", ".tif", ".tiff", ".txt", ".uop", ".uot", ".vcd", ".wk1", ".wks", ".xlc"
使用AES算法ECB模式加密文件,使用RSA算法加密AES密钥
