近日，安天 CERT（安全研究與應(yīng) 急處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)注 意到一例勒索信為韓語的勒索軟件 File-Locker。一旦受害者遭受該勒索軟件攻擊， 需要向攻擊者支付 50K 韓元解密文件。 通過對(duì) File-Locker 分析發(fā)現(xiàn)，該勒索軟 件屬于 Hidden Tear 的變種（Hidden Tear 是在 2015 年出現(xiàn)在開源社區(qū) github 的用 于學(xué)習(xí)和教學(xué)用途的勒索軟件，但逐漸被 惡 意 攻 擊 者 修 改 濫 用）。File-Locker 對(duì) Windows .NET 用戶有效而不僅是韓語用 戶，加密成功后將加密文件后綴名修改為 “.locked”，加密方式是使用對(duì)稱加密算法 AES，并且沒有與其他加密算法結(jié)合使 用，因此 File-Locker 可以通過查找硬編 碼的密碼進(jìn)行解密。

     通過對(duì) File-Locker 勒索軟件的樣本分 析發(fā)現(xiàn)，樣本編譯環(huán)境是 Microsoft Visual C# v7.0 / Basic .NET (managed)，樣本使 用 windows 10 圖標(biāo)作為偽裝，一旦被受害 者點(diǎn)擊執(zhí)行，將會(huì)掃描受害者機(jī)器的文件 目錄，包括桌面、圖片、文檔、下載、音 樂和視頻目錄，并針對(duì)常見文檔擴(kuò)展名進(jìn) 行加密。隨后在桌面創(chuàng)建 Warning!!!!!!.txt 勒索信息文件。通過對(duì)樣本反編譯，得到 AES 加密密鑰“dnwls07193147”，因此可通過該密鑰對(duì)加密文件進(jìn)行解密。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用 者，要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中 要及時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨 意下載非正版的應(yīng)用軟件、非官方游戲、 注冊(cè)機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來源是 否可靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件 中的網(wǎng)址，不要輕易下載來源不明的附件， 發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì) 措施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用 的好習(xí)慣。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn) 了對(duì)該類勒索軟件樣本的檢出。