DATAWAIT勒索病毒现身 腾讯安全“御点”守护企业安全

近期公布的台积电第三季度财报显示，受八月份的勒索病毒感染事件影响，公司约损失25.96亿新台币（约人民币5.84亿元），巨大的代价使勒索病毒所引发的安全防护话题再次成为各大企业、安全厂商热议的焦点。而日前，腾讯安全御见威胁情报中心监测到一款新型勒索病毒DATAWAIT出现，造成了多起攻击事件。经过详细分析，目前腾讯安全技术专家已率先完成对该病毒的解密工作，并提醒广大用户加强防范。

勒索病毒DATAWAIT首次出现于11月中旬，部分用户在电脑感染病毒后，无奈向安全论坛寻求帮助。不同于其他类型的勒索病毒，该病毒入侵成功后，会自动静默安装经破解修改的TeamViewer的压缩包文件，导致企业电脑被黑客远程控制，可能造成企业信息泄露。同时，一旦用户电脑被远程控制，将会暴露存储的重要文件信息，对企业用户的文档安全造成巨大威胁。

（图：多名网友在论坛求助称电脑文件被加密）

经过分析发现，该病毒主程序通过在内存中装载真正的恶意模块、外壳部分使用代码混淆，对抗安全软件的静态查杀。为了阻止用户访问安全厂商网站“求救”，电脑Host文件被该病毒重定向，导致一些网页无法正常访问。

为了成功加密用户文档实施勒索，勒索病毒DATAWAIT可谓“煞费苦心”。不仅禁用任务管理器、禁用Windows Defender开机启动，防止受害者通过进程查看发觉异常、令电脑失去保护，该病毒还伪装系统正处于补丁更新状态，借此掩饰加密文件过程造成的电脑卡顿现象，以免用户发现异常。令人哭笑不得的是，DATAWAIT勒索说明文档还显示，72小时内联系病毒作者将获得50%费用减免。

（图：勒索病毒DATAWAIT伪装成Windows自动更新）

近年来，勒索病毒对企业及公共机构网络安全造成严重威胁，其利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。对此，腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议广大企业网管，尽量关闭不必要的端口和文件共享，对于没有联网需求的服务器/工作站内部访问设置相应控制；采用高强度的密码并定期更换，同时对重要文件和数据进行定期非本地备份；推荐使用腾讯安全御点终端安全管理系统，通过终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，全面了解、管理企业内网安全状况。

（图：腾讯安全御点终端安全管理系统）

对于普通个人用户，马劲松建议开启并实时运行腾讯电脑管家等主流安全软件加强防护。目前，腾讯电脑管家工具箱中的文档守护者功能，可以利用磁盘冗余空间备份数据文件，在文件被勒索病毒破坏的紧急情况下，有助于帮助快速恢复文档，最大限度减少用户损失。