Trojan/DOS.EchoLock早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.EchoLock存在可执行文件、文本至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
启动自删除功能：病毒会在感染目标系统后自我删除，以避免被发现和清除。
修改系统注册表：病毒会修改系统注册表以实现自启动，并确保每次系统启动时都会运行病毒程序。
禁用杀软和防火墙：病毒会尝试关闭或禁用目标系统上的杀软和防火墙程序，以降低自身被检测和清除的风险。
隐藏文件和进程：病毒会修改文件属性和进程名称，使其在系统中难以被察觉。
网络传播：病毒会利用网络漏洞或社交工程等方式，通过互联网向其他系统传播。
攻击服务或系统资源：病毒可能会利用已感染系统的资源，发起DDoS攻击、破坏系统文件、窃取敏感信息等恶意行为。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Text 33.33% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet BAT/EchoLock!tr
Microsoft Trojan:Win32/EchoLock
Kaspersky Trojan.DOS.EchoLock
ESET-NOD32 EchoLock

典型样本

类型 值
MD5 7dd33b211c4cb3dee39584fab8f947b1
MD5 71799bc2dc7ebd2c686d26c1216d31b5
MD5 8d07ffba6160975782d53331dae50df0
解决方案

安装可靠的杀毒软件：确保计算机上安装了最新版本的杀毒软件，并定期进行病毒库更新。
禁用自动运行功能：关闭自动运行功能可以减少病毒感染的机会。
定期备份重要数据：及时备份重要数据可以防止因病毒感染导致数据丢失。
增强网络安全意识：培养良好的网络安全意识，谨慎点击邮件附件和不明链接，以防止病毒通过社交工程方式感染。
更新操作系统和软件：及时安装系统和软件的安全补丁，以修复已知漏洞，减少病毒攻击的风险。
定期进行系统安全扫描：定期对计算机进行全面的安全扫描，及时发现并清除病毒和恶意软件。