在希臘古典神話中，有三個名為Gorgon(“蛇發女妖”)的恐怖女妖。她們身長羽翼、利爪獠牙，可將直視其雙眼者化為石頭，曾讓無數生靈慘遭毒手。這種恐怖女妖不僅存在于神話中，如今居然還現身病毒木馬界。

近期，騰訊安全御見威脅情報中心監測發現，一款名為Gorgon的勒索病毒在國內傳播，目前已感染數家政企單位。經分析發現，Gorgon病毒實為經過輕微改動的FilesLocker勒索病毒換膚版本。FilesLocker病毒最早出現于2018年10月，專門針對政府部門及企事業單位進行攻擊，一出現便迅速招募“代理”，以謀求規模化、產業化實現獲利。對此，專家推測此次出現的Gorgon病毒很有可能是其“下線”的“杰作”。

(圖：Gorgon病毒勒索提示頁面)

通過對捕捉到的病毒樣本進行分析，騰訊安全技術專家發現，Gorgon病毒在勒索界面的顯著位置上使用了蛇發女妖的圖標。病毒作者似乎在暗示，只要中了Gorgon病毒，用戶計算機系統將如同被蛇發女妖施展妖術般“石化”。與FilesLocker一樣，Gorgon幾乎可以加密包括Office、數據庫、源程序、音頻、視頻、壓縮文件等各類常見類型文件格式。

而與FilesLocker之前的版本相比，此次Gorgon病毒UI和安全性方面做出顯著“優化”。在UI方面，不法分子將釋放桌面勒索提示文件由FilesLocker版本的txt變化為html，從僅支持中英雙語“升級”為支持中英韓三種語言，勒索說明也更加詳細;同時新增Winlogon系統登錄項，以便在開機登陸界面向中招用戶展示勒索信息。在安全性方面，新增代碼混淆功能，增大解密難度;另外Gorgon改變了勒索加密用到的RSA公鑰，導致原病毒作者釋放出用于解密的RSA私鑰將不再適用于當前病毒版本的解密。

(圖：經Gorgon病毒修改后的桌面壁紙)

此勒索病毒的命名“Gorgon”一度讓安全人員十分警惕，原因是安全界有一個被認為是來自巴基斯坦的專業黑客組織——Gorgon Group。該組織主要針對全球的外貿人士發動攻擊，攻擊目標包括英國、西班牙、俄羅斯、美國政界商界組織及成員。盡管本次捕獲的勒索病毒命名為Gorgon，騰訊安全技術專家并未發現與Gorgon Group組織有任何關聯。

為保護企業用戶免受Gorgon病毒攻擊危害，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒企業網管，盡量關閉不必要的文件共享和端口，對重要文件和數據進行定期非本地備份;采用高強度的密碼，同時對沒有互聯需求的服務器/工作站內部訪問設置相應控制;在終端/服務器上部署專業安全防護軟件，Web服務器可考慮部署騰訊云等具備專業安全防護能力的云服務;推薦全網安裝御點終端安全管理系統，以便企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

(圖：騰訊御點終端安全管理系統)

據悉，目前該病毒主要針對政企用戶，但個人用戶仍不可放松警惕。為此，馬勁松建議廣大個人用戶實時開啟騰訊電腦管家等主流安全軟件加強防護。目前，騰訊電腦管家推出的文檔守護者功能，可以利用磁盤冗余空間備份數據文件，在文件被勒索病毒破壞的緊急情況下，幫助廣大用戶快速恢復文檔。