一、概要：近日，病毒吧某吧友反馈其计算机感染勒索恶意程序并遭恶意锁屏。通过对恶意程序的分析得知，该恶意程序运行后会创建覆盖全屏的勒索窗口，其内容包含勒索信息、密码输入框及确认按钮。同时，系统被完全锁定，表现为无法执行其他操作。受害者需向攻击者支付赎金以获取解锁密码。若输入正确密码，勒索界面将退出并消失，系统恢复正常；若连续输入错误密码达到预设次数，恶意程序将会执行一些破坏系统的操作（当然这些破坏系统的操作造成的结果是可以修复的，不必重装系统）。尤为严重的是，该恶意程序在运行时会释放远程控制木马程序。即使受害者成功解锁，释放出来的远程控制木马仍潜伏于系统中，攻击者仍可远程操控受感染的设备。
二、具体分析：
1、锁机界面展示。


2、启动时
恶意程序启动时会释放远程控制。

添加开机启动项。若无法添加开机启动项，就会弹窗“请关闭杀毒软件再运行”。

检测任务管理器和粘滞键程序。

3、密码验证逻辑。


4、破坏系统的代码

通过删除安全模式的注册项实现禁用安全模式。

三、安全建议。
经过测试，主流杀毒软件均可检测该锁机程序。所以请大家务必安装一个优秀杀毒软件并保持杀毒软件实时运行，而且要做到无条件相信杀毒软件的检测结果。除此之外，不随便接受来路不明的文件、不随便让不认识的人远程自己的计算机也是必须要做到的。