近日，多家企业中勒索病毒的消息在安全业界激起千层浪，引发了广泛的社会关注。360安全大脑监测到这款新型勒索病毒名为RoBaj，使用C#编写，通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。该病毒不仅提供中文勒索信息，自身还被蠕虫感染，具有蠕虫功能，让受害者面临的威胁与损失加倍扩大。360目前已完成对该病毒的破解，中招的企业用户可以联系360进行解密。

据悉，该病毒使用典型的勒索攻击方式，首先投放横移工具，如Netpass64.exe、Windows密码破解器等，之后开始进一步横向渗透，扩大攻击范围。当病毒RoBaj-S.exe被触发执行后，会释放使用的资源文件；释放必要的文件后，程序会以"Zx "参数启动之前释放在Public Docker目录下的system32.exe加密程序，其目的是为了绕过一些分析沙箱的自动检测。再之后，病毒会执行Files目录下的off-task.exe程序，通过修改注册表来禁用一系列系统的安全管理及防护功能，并将自身添加为开机启动项，以此来保证下次开机能继续运行。

值得注意的是，该勒索病毒的开发者环境似乎被Neshta蠕虫感染，所以中招用户发现被RoBaj攻击后，除了需对勒索病毒展开排查和清理外，还需检查是否被Neshta蠕虫所感染。

面对此类勒索病毒威胁，360安全大脑给出如下安全建议：

1、企业用户可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全。

2、安装后确保开启安全软件，保证其对设备的安全防护。

3、遇到安全软件报毒的程序，不要轻易添加信任或退出安全软件。

360终端安全管理系统是以大数据、云计算等新技术为支撑，以可靠服务为保障，集防病毒与终端安全管控功能于一体的企业级安全产品。在360安全大脑的极智赋能下，360终端安全管理系统可对RoBaj等病毒威胁做出有效处理。

如果企业用户已经遭遇勒索病毒又无法解决，可以前往https://360.net/或通过400-0309-360联系360安全专家，获取帮助。