225期报告汇总
安天发布《Prolock 勒索软件分析报告》
近日,安天 CERT 在梳理网络安全 事件时发现一个名为 Prolock 的勒索软 件变种,Prolock 勒索软件最早于 2020 年 3 月被发现,主要通过 RDP 爆破进行 传播。
Prolock 勒索软件执行后,加密计算 机上的重要文件,在原文件名后追加名 为“.proLock”的后缀,在计算机所有 目录下创建名为“[HOW TO RECOVER FILES].TXT”的勒索信,勒索信内容包 含勒索说明和交付赎金的方法。ProLock 勒索软件嵌入一个名为“WinMgr.bmp” 的 BMP 图 像 中, 通 过 PowerShell 脚 本 直接注入内存中运行。ProLock 勒索软件使用“AES+RSA”加密算法加密文件, 调用命令行命令来防止受害者恢复已加 密的文件,具体操作为删除卷影副本。 安天于 3 月初发现一个名为 PwndLocker 的勒索软件,由于存在缺陷,被加密的 文件存在恢复的可能。目前攻击者已修 复了之前版本的缺陷并将其后缀名更改 为“.proLock”,被加密的文件在未得 到密钥前暂时无法解密。
安天提醒广大用户,及时备份重要 文件,且文件备份应与主机隔离;及时 安装更新补丁,避免一切勒索软件利用 漏洞感染计算机;对非可信来源的邮件 保持警惕,避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的 来源不明的链接,给信任网站添加书签 并通过书签访问;避免使用弱口令或统 一的口令;确保所有的计算机在使用远 程桌面服务时采取 VPN 连接等安全方 式,如果业务上无需使用远程桌面服务, 建议将其关闭;可以使用反病毒软件(如 安天智甲)扫描邮件附件,确认安全后 再运行。
目前,安天追影产品已经实现了对 该类勒索病毒的鉴定;安天智甲已经实 现了对该勒索病毒的查杀。
