近日，安天 CERT（安全研究與應(yīng)急處 理中心）在梳理網(wǎng)絡(luò)安全事件時發(fā)現(xiàn) SamSam 勒索軟件開始活躍，它在新版本中增加了更 多功能和變化，使分析人員在檢測和追蹤時 更加困難。

     Samsam 的新版本與早期版本有一些區(qū) 別，唯獨有一件事沒有變化：勒索軟件的載 荷是動態(tài)解密的。這就是為什么找到實際的 有效載荷代碼非常困難。新版 Samsam 有 5 個組成部分，其中 4 個是實體文件，第 5 個 由攻擊者直接參與。組件 1 是一個批處理文 件，包含勒索軟件的一些設(shè)置，它執(zhí)行一 個 .NET 文件。攻擊者使用密碼作為其命令行參數(shù)來執(zhí)行目標計算機上的批處理文件。 在舊版本中，這個批處理文件并不存在，攻 擊者可能直接執(zhí)行 .NET 組件。組件 2 則是 載荷的解密器和啟動器，該文件沒有使用混 淆，功能也比較簡單，它會查找目錄中擴展 名為 .stubbin 的文件，該文件是加密的勒索 軟件，它會立即從文件中讀取內(nèi)容到內(nèi)存并 自刪除。該文件由 AES 加密，所以即使獲取 該文件，分析人員也不能進行分析，除非能 獲得攻擊者獨有的密碼。組件 3 解密代碼包 含在單獨的 DLL 中，而在舊版本中，則在包 含在啟動器中。組件 4 就是加密的惡意代碼 載荷 *.stubbin。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，要提 高網(wǎng)絡(luò)安全意識，在日常工作中要及時進行 系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版 的應(yīng)用軟件、非官方游戲、注冊機等。收發(fā) 郵件時要確認收發(fā)來源是否可靠，更加不要 隨意點擊或者復(fù)制郵件中的網(wǎng)址，不要輕易 下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高 警惕并及時采取應(yīng)對措施，養(yǎng)成及時更新操 作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該 類惡意代碼的檢出。