185期报告汇总
安天发布《Shade 勒索病毒分析报告》
 
      近日,安天 CERT 在梳理网络安全 事件时发现一个名为 Shade 的勒索病毒。 Shade 勒索病毒首次出现于 2014 年末, 主要针对美国,日本、印度,泰国和加拿 大等地进行攻击,该勒索病毒对 Windows 操作系统有很强的破坏力,主要利用 Axpergle 和 Nuclear 漏洞工具包、钓鱼邮件 等形式进行攻击。

      在最近的一次攻击事件中,攻击者 向受害者发送带有附件的钓鱼邮件,解压 附件中的 zip 文件,实际上得到的是一个 恶意的 JS 脚本,该脚本被攻击者进行了 代码混淆,分析后发现该脚本会联网下载 Shade 勒索病毒样本。样本运行后首先将 自身复制到系统目录下,伪装成系统文件并将自身设置为自启动。接着扫描系统文 件,并加密上百种常见类型的文件,加密 后的文件扩展名为 .crypted000007,如果所 有文件都加密完成,勒索病毒会设置桌面 背景为勒索提示信息,并且采用英俄双语 提醒受害者电脑中的文件已经被加密,同 时还会在桌面上创建 10 个内容完全相同的 勒索信,勒索信内容也是采用英俄双语, 并且攻击者提供了邮箱和 Tor 两种方式让 受害者与其联系并支付费用获取解密密 钥。

      安天 CERT 提醒广大政企客户,要 提高网络安全意识,在日常工作中要及时 进行系统更新和漏洞修复,不要随意下载 非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠, 更不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。