近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時發現 一種名為 Anatova 的新型勒索軟件木馬。 該木馬由經驗非常豐富的作者編寫，采用 RSA+Salsa20 的方式加密，中招后想自行 解密的概率非常低，并且它還預留了模塊 化擴展功能，這在未來可能演變成巨大威 脅。

      Anatova 使用游戲或應用程序圖標來 偽裝自己欺騙用戶下載，運行時會申請管 理員權限，然后對用戶文件進行快速加密， 并要求用戶支付 10 DASH 加密數字貨幣 （約 700 美元）來解密文件。木馬運行時 會動態生成一個 RSA 密鑰對，并隨機生成 一個 32 位密鑰和 8 比特字節作為加密算法的 Key 和 IV，使用 Salsa20 算法對文件加密。 在整個加密過程中，程序會解密一段來自 攻擊者的 RSA 公鑰，用它對之前動態生成 的密鑰進行加密，將結果進行 Base64 編碼 后寫入勒索信中。隨后清除內存緩沖區域， 防止有人從內存中恢復密鑰信息。Anatova 會搜索所有邏輯磁盤和遠程共享磁盤，因 此可能感染整個網絡。為了快速加密，它 只會加密文件的前 1MB 字節。加密完成后， 還會快速刪除卷影副本 10 次，用戶將難以 通過系統還原來恢復文件。

     安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。