218期报告汇总
安天发布《Unique 勒索软件变种分析报告》
近日,安天 CERT 在梳理网络安全事 件时发现一个名为 Unique 的勒索软件变 种,该勒索软件隶属于 IEncrypt 勒索软件 家族,此变种于 2020 年 1 月被发现,主要 通过垃圾邮件和 RDP 爆破进行传播。
Unique 勒 索 软 件 执 行 后, 加 密 计 算机上的文档文件,在原文件名后追加名为“.un1que”的后缀 , 每加密一个文件都会在该文件同一目录下创建名为“原文件名+.un1que_readme”的勒索信,该勒索信内容包含勒索说明、联系邮箱和 USER_ID等。Unique 勒 索 软 件 使 用“RSA+AES”加密算法加密文件,将自身移动至系统临时目录下,并利用 Windows 系统 NTFS 文件流(ADS)技术实现隐藏,通过 ARP 和 NSLOOKUP 命令扫描局域网主机,对存 活主机进行探测。调用命令行命令来防止 受害者恢复文件,具体操作为删除卷影副 本、禁用修复、删除本地计算机的备份目 录等。目前被加密的文件在未得到密钥前 暂时无法解密。
安天提醒广大用户,及时备份重要文 件,且文件备份应与主机隔离;及时安装 更新补丁,避免一切勒索软件利用漏洞感 染计算机;对非可信来源的邮件保持警惕, 避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问; 避免使用弱口令或统一的口令;确保所有 的计算机在使用远程桌面服务时采取 VPN 连接等安全方式,如果业务上无需使用远 程桌面服务,建议将其关闭;可以使用反 病毒软件(如安天智甲)扫描邮件附件, 确认安全后再运行。
目前,安天追影产品已经实现了对该 类勒索病毒的鉴定;安天智甲已经实现了 对该勒索病毒的查杀。