每周典型威胁分析

36期报告汇总

安天发布《勒索软件TeslaCrypt再次来袭》报告
 

       近日，安天追影小组发现了勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0，并开始进行跟踪分析。TeslaCrypt是在2015年2月份左右被发现，其是在Cryptolocker的基础上修改而成的，在第一个版本中，TeslaCrypt声称使用非对称RSA-2048加密算法，但实际上使用的是对称的AES加密算法，由此Cisco（思科）发布了一款解密工具，在找到可恢复主密钥的key.dat文件时，可以解密被TeslaCrypt加密的文件；但在之后的多个版本中，TeslaCrypt开始使用非对称的RSA加密算法，被加密的文件在无密钥的情况下已经无法成功被解密。

       TeslaCrypt 4.0在2016年3月份开始出现，使用的是RSA-4096加密算法，经追影小组分析，它具有多种特性，例如：加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。同时，TeslaCrypt4.0利用网站挂马和电子邮件进行传播，在国内网站挂马发现的较少，通常利用浏览器漏洞（Chrome、Firefox、Internet Explorer）、Flash漏洞和Adobe Reader漏洞进行传播；而利用电子邮件传播的数量较多，安天追影小组发现的多起勒索软件事件也都是通过电子邮件传播的。

       勒索软件的泛滥对企业和个人用户都具有极大的威胁，被加密后的文件无法恢复，将给用户造成巨大的损失。目前，安天智甲终端防护系统（IEP）可以在用户失误点击运行勒索软件时阻止其对用户文件进行加密，安天追影高级威胁分析系统（PTA）则具有自动识别未知勒索软件的能力。但解决勒索软件威胁问题除了安装安全产品、防护产品、备份产品外，更需要用户在接收邮件时谨慎小心，慎重打开邮件附件或点击邮件内的链接，尤其是来自陌生人的邮件。