病毒概述

2018年12月24日，天融信安全专家团队捕获Criakl勒索病毒变种Ransom.Criakl。攻击者利用钓鱼邮件传播一个zip后缀的附件，该附件解压后是一个包含宏病毒的word文件，一旦启用word宏的用户打开此文件，在文件关闭时将自动下载并运行勒索病毒，对电脑所有文件进行加密，并要求通过邮件获取解密密钥，还原加密文件。

该病毒的宏内容随机变化，无固定特征可匹配，天融信EDR采用行为分析和虚拟沙盒技术，可精确检测并查杀该勒索病毒，有效防止此勒索事件发生。

病毒传播分析

天融信安全团队对该病毒传播行为进行了剖析，具体如下所示：

1.  攻击者通过钓鱼邮件传播病毒下载器，诱导用户下载打开附件。

2.  下载恶意程序包到temp目录。

3.  获取系统路径。

4.  获取系统temp路径。

5.  运行下载的病毒。

6.  病毒下载抓包截图。

解决方案

1.  已安装天融信EDR用户，将病毒库升级至2018/12/24及以上版本即可精准识别并查杀该勒索病毒。

2.  未安装天融信EDR用户，可试用企业版或下载单机版对该勒索病毒进行检测与查杀。

天融信EDR企业版试用：可通过天融信各分支机构获取（查询网址：http://www.topsec.com.cn/jigou-47.html）

天融信EDR单机版下载地址：http://edr.topsec.com.cn

温馨提示

1.  不要点击来源不明的邮件附件。

2.  不要启用office宏功能。

3.  定期备份电脑中的重要文件资料到移动硬盘或U盘上。