36期报告汇总

安天发布《勒索软件TeslaCrypt再次来袭》报告
 
       近日,安天追影小组发现了勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,并开始进行跟踪分析。TeslaCrypt是在2015年2月份左右被发现,其是在Cryptolocker的基础上修改而成的,在第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.dat文件时,可以解密被TeslaCrypt加密的文件;但在之后的多个版本中,TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的情况下已经无法成功被解密。

       TeslaCrypt 4.0在2016年3月份开始出现,使用的是RSA-4096加密算法,经追影小组分析,它具有多种特性,例如:加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。同时,TeslaCrypt4.0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,通常利用浏览器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞进行传播;而利用电子邮件传播的数量较多,安天追影小组发现的多起勒索软件事件也都是通过电子邮件传播的。

       勒索软件的泛滥对企业和个人用户都具有极大的威胁,被加密后的文件无法恢复,将给用户造成巨大的损失。目前,安天智甲终端防护系统(IEP)可以在用户失误点击运行勒索软件时阻止其对用户文件进行加密,安天追影高级威胁分析系统(PTA)则具有自动识别未知勒索软件的能力。但解决勒索软件威胁问题除了安装安全产品、防护产品、备份产品外,更需要用户在接收邮件时谨慎小心,慎重打开邮件附件或点击邮件内的链接,尤其是来自陌生人的邮件。