近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時發現 一種名為 KeyPass 的勒索軟件開始活躍。 KeyPass 勒索軟件通過虛假的軟件安裝程序 進行傳播，2018 年 8 月份在世界范圍內大 量出現。

     KeyPass 程 序 用 C++ 編 寫， 并 在 MS Visual Studio 中編譯，使用庫 MFC、Boost 和 Crypto++ 進行開發。PE 報頭包含的最 近的編譯日期為 8 月 7 日。當惡意代碼在 受害者的計算機上啟動時，KeyPass 將自身 復制到 %AppData% 并執行，然后刪除自身。 KeyPass 在加密時會將加密密鑰和受害者 ID 作為命令行參數回傳。KeyPass 從受感 染計算機可枚舉訪問本地驅動器和網絡共享并遍歷所有文件，它會跳過系統目錄中 的文件維持系統正常運行，其路徑被硬編 碼到樣本中。KeyPass 開發人員在 CFB 模 式下，使用帶有 zero IV 和相同 32 字節密 鑰的對稱算法 AES-256 的簡單方案對所有 文件進行加密，啟動后，KeyPass 連接到 C ＆ C 服務器，回傳當前受害者的加密密 鑰和感染 ID，數據以 JSON 的形式通過純 HTTP 傳輸。如果 C ＆ C 無法訪問，則使 用硬編碼密鑰和 ID 進行離線加密。研究 人員稱 KeyPass 木馬包含一個默認隱藏的 表單，按下鍵盤后可以顯示該表單，此功 能表明該木馬可以采用手動控制。

     安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。