俄羅斯出現了一種名為StalinLocker的新型病毒

俄羅斯出現了一種新型電腦病毒，它要求受害者在10分鐘內輸入解鎖代碼，並在輸入錯誤時刪除硬碟中的存儲內容。

據MalwareHunterTeam稱，一種名為StalinLocker的新病毒會清除存儲在個人計算機上的所有數據。病毒激活後，StalinLocker首先鎖定受感染的電腦，屏幕畫面被替換成雙眼發光的前蘇聯領導人斯大林，同時運行一個名為「USSR_Anthem.mp3」的音頻文件循環播放蘇聯國歌；受害者擁有大約600秒的時間來輸入正確的密鑰以挽救所有的數據。

惡意軟體也會將其自身複製到與stalin.exe同名的文件夾中。然後它創建一個名為Stalin的自動運行的進程，就是它鎖定了屏幕並啟動刪除過程。

受害人可以緊急切斷電源，但是重新開機後，依然要面對桌面上斯大林的激光凝視。此外，病毒創建了％UserProfile％ AppData Local fl.dat文件，它的作用是，每次重新啟動計算機，你用於輸入密鑰的時間就會被扣除掉一部分。

它攻擊了管理器和桌面進程，只留下Skype或Discord。還創建了一個名為「驅動程序更新」的計劃任務，該任務用於開機時啟動Stalin.exe。

受感染時，鎖定畫面下會出現一個10分鐘的計時器。受害者將需要輸入一組數字。數字是通過當前日期減去日期30/12/1922後計算得出的結果。如果輸入了正確的代碼，StalinLocker自動終止並卸載。

為了推導出正確的代碼，需要獲取當前日期(即病毒執行日期)並減去1922.12.30(蘇聯成立)；再將結果換算成天數。 — MalwareHunterTeam (@malwrhunterteam) 14 мая 2018 г.

好像是下面的計算方式，不考慮具體閏年，如果現在是nd=2018.05.20，減去蘇聯成立的日期n=1922.12.30，nd-n=96年-7個月-10天=__天

如果受害者在倒數到零時未能輸入代碼，則惡意軟體會刪除連接到計算機的每個驅動器上的所有文件。

MalwareHunterTeam在接受SC Media UK採訪時表示，惡意軟體「沒有提到金錢要求，也沒有進一步的接觸，沒有任何東西」。他們補充說，惡意軟體「不是任何已知的變種」，並且在幾天前首次出現。

他們表示，如果用戶感染了病毒，「他能做的最好的事情就是關機，並聯繫可以清理的人」。

ESET的安全專家Mark James告訴SC Media UK，目前這種類型的惡意軟體似乎只具有破壞性，似乎除了摧毀數據並獲得媒體關注之外別無它用。

「對於普通的終端用戶來說，他們既沒有時間也沒有足夠的專業知識找到並輸入正確的代碼，因此幾乎肯定會導致文件清除的結果。他們唯一的保護措施就是尋求一款優秀的多層互聯網安全軟體，能夠檢測並刪除惡意程序。」他說。

「話雖如此，這種惡意軟體的作用還遠不止於製造刪除個人文件的肆意破壞行為——其使用的內容可能被視為變相攻擊或指責某個具體國家。」

AlienVault安全倡導者Javvad Malik告訴SC Media UK，去年rensenWare會鎖定機器並強制用戶在遊戲中獲得高分，以解鎖自己的文件。

「雖然這類攻擊不一定是為了獲利，但其影響不亞於此。因此，企業應該認真對待所有這些威脅，並加大安全控制措施投入力度，確保有效預警，以便採取適當的防禦手段。」

本文譯自 scmagazineuk，由譯者 majer 基於創作共用協議(BY-NC)發布。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！