注意! MongoLock 勒索病毒來襲! 會直接刪除資料、備份硬碟，再發勒贖通知

大過年的，除了豬瘟需要堤防注意之外，現在又傳出全新勒索病毒

而且這次手段更狠，以往是把你電腦資料全部加密，這次可不同

會直接刪除你電腦裡的資料，並且備份到雲端後、再跟你要勒索要贖金

重點是 ……. 只要中毒後即使電腦拔掉網路，依舊會持續刪除檔案，讓檔案無法回復，並會格式化可用的備份硬碟，唯一辦法只能24小時內支付贖金，代價就是0.1比特幣。真的是太狠了……….

以下消息來自《Trend Labs 趨勢科技全球技術支援與研發中心》的消息

趨勢科技表示，這波攻擊會在感染時刪除檔案而非進行加密，並且會進一步掃描可用資料夾和磁碟來進行檔案刪除。此波勒索病毒從2018年12月開始出現，會要求受害者在24小時內支付0.1比特幣來取回據稱保存在駭客伺服器內的檔案。目前趨勢科技偵測到200多個樣本，台灣、香港、韓國、英國、美國、阿根廷、加拿大和德國,是中毒數量最高的地區。

與一般先加密的勒索病毒不同，直接刪除重要資料，備份硬碟，再發勒贖通知

與一般看到的勒索病毒加密行為不同，此變種會刪除在磁碟A和D內找到的重要資料並將勒贖通知加入資料庫。

圖1、MongoLock留在中毒資料庫的勒贖通知。

勒索病毒會掃描和移除文件、桌面、最近、我的最愛、音樂、影片和資源回收筒內的檔案，並格式化可用的備份磁碟。根據勒贖通知，被刪除檔案的副本會用加密的HTTPS協定上傳到一個網址，我們追蹤電子郵件找到託管在ToR網路內的命令與控制（C&C）伺服器。中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。我們透過沙箱分析沒有發現資料庫掃描和搜尋的跡象，這可能代表資料刪除只針對特定目錄內找到的實體檔案。

該怎麼辦? 建議作以下對應方案

• 更新你的系統和軟體來避免成為讓網路犯罪分子可用的進入點或感染管道。
• 實作3-2-1 備份原則。
  • 至少備份三個資料副本
  • 有兩種不同的存儲格式
  • 至少有一個資料位於異地

@原文出處：Ransomware MongoLock Immediately Deletes Files, Formats Backup Drives