172期报告汇总
安天发布《Anatova 勒索软件分析报告》
 
     近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发现 一种名为 Anatova 的新型勒索软件木马。 该木马由经验非常丰富的作者编写,采用 RSA+Salsa20 的方式加密,中招后想自行 解密的概率非常低,并且它还预留了模块 化扩展功能,这在未来可能演变成巨大威 胁。

      Anatova 使用游戏或应用程序图标来 伪装自己欺骗用户下载,运行时会申请管 理员权限,然后对用户文件进行快速加密, 并要求用户支付 10 DASH 加密数字货币 (约 700 美元)来解密文件。木马运行时 会动态生成一个 RSA 密钥对,并随机生成 一个 32 位密钥和 8 比特字节作为加密算法的 Key 和 IV,使用 Salsa20 算法对文件加密。 在整个加密过程中,程序会解密一段来自 攻击者的 RSA 公钥,用它对之前动态生成 的密钥进行加密,将结果进行 Base64 编码 后写入勒索信中。随后清除内存缓冲区域, 防止有人从内存中恢复密钥信息。Anatova 会搜索所有逻辑磁盘和远程共享磁盘,因 此可能感染整个网络。为了快速加密,它 只会加密文件的前 1MB 字节。加密完成后, 还会快速删除卷影副本 10 次,用户将难以 通过系统还原来恢复文件。

     安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。