近日，深信服安全团队跟踪到多个法院用户感染fileslocker勒索病毒最新版本fileslocker2.1，该版本专门为庆祝圣诞节而设计命名，中招用户除了系统被加密破坏之外，还有来自勒索作者的节日问候。

▲filelocker 2.1版本的勒索界面（圣诞专版）

2018年10月，有人在暗网发布fileslocker勒索病毒合作计划。事后有多家国内安全厂商跟进报道，随即此贴访问量暴涨十倍，之后作者在帖子上更新了报道链接。

fileslocker是一款代理型勒索软件，勒索病毒制造者只负责制作勒索病毒本身，传播方式通过招中间代理的方式来实现，故传播方式多种多样。其中，最新版本的fileslocker2.1版本会在桌面生成中英文的勒索信息提示文件，并弹出勒索窗口。还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸，画面颇为“欢乐喜庆”。

2018年12月31日，作者放出了1.0和2.0版本的私钥，目前国外已有安全人员根据私钥开发出了解密工具。但这并不是作者偃旗息鼓了，最新的2.1圣诞专版更换了新的rsa秘钥对，且暂时没有释放密钥，意味着暂时难以解密，深信服提醒广大用户依然要小心防范。

▲fileslocker1.0和fileslocker2.0加密后在浏览器弹出释放的rsa秘钥

2.1版本分析

1、由于作者已经将之前的私钥放出，在2.1版本中，便更新了公钥，如图所示。

▲2.1版本更新公钥

2、随机生成加密文件的aes密钥，使用rsa加密，最后再用base64把密文进行编码。

▲ 加密aes秘钥，并用base64编码密文

3、样本只加密系统盘中指定文件夹和非系统盘中指定文件名后缀名的文件。

▲系统盘指定文件夹

▲ 加密除系统盘之外的其他磁盘

▲ 指定加密的文件后缀名，共367种

3、加密文件使用了aes算法，ecb模式。

▲加密文件代码

4、加密完成后会在文件名后面添加后缀.[fileslocker@pm.me]。

▲添加文件名后缀

5、加密阶段完成之后，调用vssadmin.exe删除掉系统卷影副本。

▲删除卷影副本

2.0版本分析

1、2018年11月底，fileslocker升级到了2.0版本，主体功能没有变化。加密的文件后缀比1.0版本增加了10个。加密以后会从指定链接下载图片并设置为桌面壁纸。

同时，勒索弹窗也做了些改变。

1.0版本分析

2018年10月，作者在暗网发布了合作计划，样本开始出现。1.0版本病毒名字伪装成windows update，用以迷惑用户。

▲原始文件名字

1.0版本加密的文件后缀有357种。

▲ 指定加密的文件后缀名，共357种

1.0会在桌面生成中英文的勒索信息提示文件，并弹出勒索窗口。

▲1.0版本勒索界面

解密工具（fileslocker2.1圣诞专版暂时没有解密工具）

针对fileslocker1.0和2.0的勒索解密工具下载地址：http://edr.sangfor.com.cn/tool/fileslockerdecrypter.zip。

病毒检测查杀

1.   深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。http://edr.sangfor.com.cn/tool/sfabantibot.zip

2.   深信服edr产品及下一代防火墙、安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测。

病毒防御

1.   及时给电脑打补丁，修复漏洞。

2.   陌生人发来的陌生文档，邮件不要轻易打开。

3.   对重要的数据文件定期进行非本地备份。

4.   深信服下一代防火墙、终端检测响应平台（edr）均有防爆破功能，下一代防火墙开启此功能并启用11080051、11080027、11080016规则，edr开启防爆破功能可进行防御。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知平台 下一代防火墙 edr，对内网进行感知、查杀和防护。