Locky家族最早是出現(xiàn)在今年2月份,6月27日最新變種為ZEPTO,9月27日最新變種odin,10月25號最新變種shit ,10月28日最新變種thor。

Locky的傳播主要通過郵件附件的形式進行傳播，早期的郵件附件是一份word文檔，通過宏命令來在遠程服務器上下載可執(zhí)行文件，后期的郵件是一個js或者wsf文件，文件執(zhí)行起來后會從遠程服務器下載一個可執(zhí)行文件，這個可執(zhí)行文件就是干活的了。Locky家族的加密方式一直很統(tǒng)一，采用RSA-2048和AES-128對用戶文件進行加密。該敲詐者會在每個文件夾下生成一份帶有敲詐勒索信息的html文件，并將用戶的每個文件的文件名重命名為標識ID和特定的字符串后綴。

1. 被篡改的桌面背景

2. 會留下下面敲詐信息，引導用戶支付贖金：

3. 計算機中的文檔和文件會被改名成隨機的一串字符，后綴會改為locky/zepto/odin/shit/thor，并在每個目錄下留一個html的引導文件。

4. 通過病毒留下的解密引導文檔，回來到這個頁面，要求用戶為一個比特幣地址轉(zhuǎn)賬3比特幣換取解密軟件：

使用的AES算法做為文件加密算法，密鑰通過隨機數(shù)生成，加密下面190多種格式的文件：

.n64, .m4u, .m3u, .mid, .wma, .flv, .3g2,.mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav,.mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar, .bz2, .tbk,.bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif,.raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, NaNd, .bat, .sh, .class,.jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .pl, .vbs, .vb, .js, .h,.asm, .pas, .cpp, .c, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf,.db, .mdb, .sql, .SQLITEDB, .SQLITE3, .011, .010, .009, .008, .007, .006, .005,.004, .003, .002, .001, .pst, .onetoc2, .asc, .lay6, .lay, .ms11, .sldm, .sldx,.ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx,.pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1,.xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc,.sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max,.3ds, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt,.DOC, .pem, .p12, .csr, .crt, .key, wallet.dat

該敲詐者還會通過如下命令刪除系統(tǒng)備份：

vssadmin.exe Delete Shadows /All /Quiet

1.不要輕易打開陌生郵件附件，不要試圖執(zhí)行js，wsf文件。

2.不要去執(zhí)行陌生人發(fā)來文檔中的宏。

3.重要數(shù)據(jù)多做備份。

4.安裝可靠的安全防護軟件。