.Lukitus是什么病毒

病毒执行体描述：
RansomLukitus是一种特洛伊木马，它对受感染的计算机上的文件加密，并要求受害者支付赎金用于解密。

影响平台：Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

Lukitus 是 Locky 病毒的新变种，它被发现在 2017 年 8 月通过恶意垃圾邮件传播。这个勒索软件类型的病毒使用了 RSA-2048 和 AES-128 密码来加密目标文件，以 lukitus 文件扩展名来锁住它们。然后，它会安装两个新的文件—— lukitushtm 和 lukitusbmp，告知了唯一能复原数据的昂贵选项——购买 Locky 解密器的必要性。

应对方法：

在打开任何电邮里收到的文件或链接之前，反复检查发件人的信息；

使用安全工具扫描附件，以确保它们是没有受到感染的；

查找可能让犯罪份子露出马脚的语法或拼写错误；

对于勒索软件的保护，你也应该确保计算机上所安装的全部程序都是最新版本、避免点击可疑内容或访问高风险站点，并安装专业抗毒软件。进行数据备份。

PyLocky勒索病毒加密文件完成后会添加lockedfile扩展后缀，病毒主要通过垃圾邮件进行传播。所以首先要避免染毒，电脑漏洞一定要修复，同时不要点击来源不明的邮件附件，当一个文件用docx（Word文档）作图标，却是EXE可执行文件时，显然属于恶意程序伪装，一定不要打开。不使用外挂、破解补丁等容易传播病毒的软件。保持腾讯电脑管家等安全软件的运行状态，及时修复系统漏洞，实时拦截病毒风险。

我也中了，这个好像是之前LOCKY的变种，一般跟你要2个比特币，大概要9000多人民币，这个暂时都无法解密，只能向黑客支付才能解。别问我为什么知道这么多，博客有介绍的，勒索病毒狙击者

自2005年以来，勒索软件已经成为最普遍的网络威胁。根据资料显示，在过去11年间，勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来，主要有两种勒索软件：基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备，通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外，离线加密方法正越来越流行，其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan第一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph LPopp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密，解密工具很快可恢复文件名称，但这开启了近30年的勒索软件攻击。Archievus在第一款勒索恶意软件出现的近二十年(17年)后，另一种勒索软件出现。不同的是，这个勒索软件更加难以移除，并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是第一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后，主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱，而不会暴露自己身份。在同一年，与勒索软件木马有关的产品开始流行。一款木马勒索软件模拟用户的Windows产品激活通知，告知用户其系统的安装因为欺诈需要重新激活，并定向用户到假的在线激活选项，要求用户拨打国际长途。该恶意软件声称这个呼叫为免费，但实际呼叫被路由到假冒的接线员，并被搁置通话，导致用户需要承担高额国际长途电话费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan，该勒索软件会声称计算机受到攻击，并被用于非法活动，用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下，计算机屏幕会显示计算机摄像头记录的画面，让用户感觉非法行为已被记录。此事件发生后不久，涌现很多基于警察的勒索软件，例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种，声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻，因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延，因为威胁着利用了现有的GameOver Zeus僵尸网络基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件，然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor网络，这让解密很困难，因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年，CryptoDefense开始出现，这个勒索软件利用Tor和Bitcoin来保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI，私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同，CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播，因为它利用了Cutwail电子邮件活动，该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播，并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动，都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步，它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年，网络威胁联盟公布覆盖全球的CryptoWall活动，金额达到325亿美元。Sypeng和KolerSypeng可被认为是第一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播，需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似，它也是用假冒警察处罚，并要求MoneyPak支付赎金。Koler被认为是第一个Lockerworm，因为它包含自我繁殖技术，它可发送自定义消息到每个人的联系人列表，指引他们到特定网址再次下载勒索软件，然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同，CTB-Locker直接与Tor中C2服务器通信，而不是具有多层基础设施。它也是第一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年，CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现，它被认为是第一款针对Android移动设备的基于Crypto的勒索软件，它会简单地加密文件和文件夹，而不是锁定用户手机。LockerPin在去年9月，一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现第一个可重置手机PIN以永久锁定设备的真实恶意软件，被称为LockerPin，该恶意软件会修改受感染设备的锁屏Pin码，让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现，这些服务通常包含用户友好型勒索软件工具包，这可在黑市购买，售价通常为1000到3000美元，购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是第一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年，这可能将是持续威胁，因为开发人员制作出四个版本。它首先通过Angler漏洞利用工具包来分发，随后通过其他来分发。TeslaCrypt利用AES-256来加密文件，然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层，包括代理服务器。TeslaCrypt本身非常先进，其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年，TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现，主要瞄准远程桌面和终端服务。与其他勒索软件活动不同，攻击者通过远程手动进行，他们远程进入服务器、绘制内部系统。在这种情况下，攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现，它被认为是第一款doxing勒索软件，它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信，这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是第一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大，达到22MB，它使用NWjs，这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的 *** 作。Ransom32被认为具有革命性，因为它理论上可在多个平台运行，例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin，它可能是索要赎金最高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索，它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的方法。7ev3n-HONE$T随后被发布，降低了赎金要求并增加了一些有效的功能。Locky在2016年，EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码，并声称这样做是出于研究目的，而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现，Locky快速通过网络钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金，从而导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初，攻击者会通过JexBoss工具对JBoss服务器执行侦查，随后利用漏洞并安装SamSam。与其他勒索软件不同，SamSam包含一个通道，让攻击者可实时通过onion网站与受害者通信。KeRanger第一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现，它通过针对OSX的Transmission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名，让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行，它通过Drop-Box来交付，并改写受感染机器的主启动记录(MBR)，然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金，支付费用将会翻一倍。Petya更新包含第二个有效载荷，这是Mischa勒索软件变体，而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现，它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是第一个使用Crypter的勒索软件，这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密，而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW系列中流行的Jigsaw人物，它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外，如果受害者试图阻止进程或重启电脑，将删除1000个文件。CryptXXX在2016年5月底，CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关，因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播，主要是Angler，并通常在bedep感染后被观察到。它的功能包含但不限于：反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等)，Zcryptoer还被认为是第一个Crypto蠕虫病毒。它通过垃圾邮件分发，它有自我繁殖技术来感染外部设备以及其他系统，同时加密每台机器和共享驱动器。勒索软件的未来专家预测我们在2016年还将继续观测到多个新变种，在这些变种中，可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的网络团伙。现在勒索软件编写者还在继续其开发工作，更新预先存在的勒索软件或者制造新的勒索软件，我们预测，增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力，这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明，勒索软件编写者知道很多研究人员试图逆向工程其软件，这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。

注意看你的U盘内容是否都变成快捷方式图标了？找不到wsf文件提示你中了一种新型病毒，这种病毒就是用wsf脚本传播的。见下面引用文章：

2016年以来以Locky为代表的勒索软件利用Office宏，js脚本等方式肆意传播，近期360安全中心监测到出现了以wsf格式文件传播的新型传播方式，本文360QEX引擎团队会针对此新型传播方式进行详细的分析。wsf格式文件是windows脚本文件（windows script file）的简称，一个wsf文件中不仅可以同时包含js和vbs脚本，而且可以包含Perl，Object REXX 等脚本，因此它可以作为一个脚本容器。

通过近期的观察，发现近期流行的wsf格式文件主要以内嵌js文件为主，此种格式文件主要通过以下两种方式进行敲诈者病毒传播：将敲诈者病毒内嵌到wsf文件中，然后运行释放出敲诈者病毒的方式；将wsf文件作为下载器，然后从远程下载运行敲诈者病毒的方式。

原生JS实现可控制状态的DIV自由拖动代码
新建一个文件名：indexhtm把下面所有代码放进去。
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 10 Transitional//EN" ">