近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 例通過利用 Flash 0day 漏洞傳播的勒索軟 件，名為“Hermes”。該勒索軟件其實已 經在很久之前就出現了，此次事件中所使 用的版本是 2.1。

     在 1 月 底， 韓 國 緊 急 響 應 小 組 （KrCERT）發布了針對有針對性攻擊的 零日 Flash Player 的消息。該漏洞（CVE-2018-4878）存在于 Flash Player 28.0.0.137 及更高版本中，是通過包含嵌入式 Flash 漏洞的惡意 Office 文檔分發的。在公開 發布幾周后，垃圾郵件活動已經開始推 出含有最新漏洞的惡意 Word 文檔。此次 事件，“Hermes”使用漏洞攻擊工具包GreenFlash Sundown 并利用該 Flash 漏洞傳 播自身。

     勒索軟件將自身復制到 %TEMP% 下， 重命名為 svchosta.exe，然后刪除初始樣本。 衍生文件“PUBLIC”包含一個帶有 RSA 公鑰的代碼段。值得注意的是，該密鑰在 每次運行中都是唯一的，因此，每個受害 者都會生成 RSA 密鑰對。另一個文件是名 為 UNIQUE_ID_DO_NOT_REMOVE 的 加密數據塊。它是一個包含加密 RSA 私鑰 的代碼段，對受害者是唯一的。同一個文 件夾還包含警告信息。當加密完成時，警 告信息彈出。該信息文件采用 HTML 格式， 名 為 DECRYPT_INFORMATION.html。 有趣的是，根據活動情況，在一些樣本中，作者使用 BitMessage 與受害者進行交流。 在每次系統啟動時，它都會檢查新的未加 密文件并嘗試對其進行加密。

     安天 CERT 提醒廣大網絡使用者，要 提高網絡安全意識，在日常工作中要及時 進行系統更新和漏洞修復，不要隨意下載 非正版的應用軟件、非官方游戲、注冊機 等。收發郵件時要確認收發來源是否可靠， 更加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習慣。 目前，安天追影產品已經實現了對該類惡 意代碼的檢出。