事件通告

2016年3月18日，我校接到第一例邮箱用户感染Locky勒索软件病毒的报告，提醒所有用户严加防范。

该病毒属于CTB-Locker病毒的新变种，有部分防病毒软件厂商命名带有Locky字样，中文统称勒索软件或勒索病毒；主要以邮件附件形式传播，从我们收集的样本信息来看，附件文件名为“wire_payment_288787.zip”，内含3个文件，分别是details_3e1d9a66.js，e-bill_8c776186.js，thumbs.db，真正有问题的是两个以.js为扩展名的脚本文件。邮件头和邮件正文类似如下：

###
发件人: "Joan Dean" < DeanJoan339@uk.net>
收件人: "username"
发送时间: 星期五, 2016年 3 月 18日 上午 12:01:25
主题: FW: Payment #288787

Dear username,

Please find attached an invoice that is now due for payment.

King Regards.

Joan Dean
Managing Director
###

收到邮件的用户如果误打开附件，并且运行里面的病毒脚本后，计算机上的所有文件和文件夹均被加密，无法再被打开，桌面上会弹出一个标题为“重要资讯”的警告信息，告知所有文档已被强加密，要想解密只有按照指引联系勒索者。该病毒样本截止至2016年3月21日9:27时，有23/56 的防毒引擎检出率（检测报告详见 https://www.virustotal.com/en/file/3be5befe6d897f1865b232a160943e38eb19d39c9a8588a3a3c8f4370d2cdbec/analysis/1458523639/ ），所以如果用户计算机安装了可检出该病毒的防病毒软件，在一定程度上也能阻止病毒的运行。

目前国内高校有不少邮箱用户感染了类似的病毒。请广大邮箱用户提高安全意识，不要随便打开不明来历的邮件附件，勤打系统补丁，安装防病毒软件，及时更新，平时注意多备份重要的文件和数据到不可擦写的介质上（如光盘等）。不慎中招者，请立即关闭计算机，拆出硬盘，送交有实力的数据恢复公司看能否恢复出加密前的文件数据。