国家计算机病毒应急处理中心通过对互联网的监测发现了一款勒索病毒LooCipher。该勒索病毒使用带有宏的文档作为载体,Info_BSV_2019.docm和Info_Project_BSV_2019.docm,一旦用户打开文档,就会邀请用户启用宏代码执行。
宏代码从指定网站下载勒索软件并启动。程序运行后,就开始加密所有受害者的文件,其中系统和程序文件夹除外,例如Program Files、Program Files(x86)、Windows等,避免启动操作系统所需的文件损坏。在加密阶段,对于要加密的每个文件,恶意软件会创建文件的加密副本,但它不会删除原始文件,而是会清空它们并强制使用0字节大小。当加密阶段结束时,它会在受害者桌面上创建一个FAQ文件夹,报告说明以问答的形式进行赎金支付。受害者只有五天时间来进行付款。在此时间之后,密钥将被自动销毁,从而阻止以任何方式恢复用户的内容。类似信息也会在图像集中显示为背景,并且显示在交互式弹出窗口中。在加密阶段结束后,恶意进程就会获取有关受感染计算机的信息并检索BTC地址以显示在弹出窗口中。
针对该恶意程序所造成的危害,建议用户在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,不要打开来历不明的文档,以免使电脑受到该恶意程序的危害。