近日，安天 CERT 在梳理網(wǎng)絡(luò)安全 事件時(shí)發(fā)現(xiàn)一個(gè)名為 Shade 的勒索病毒。 Shade 勒索病毒首次出現(xiàn)于 2014 年末， 主要針對(duì)美國(guó)，日本、印度，泰國(guó)和加拿 大等地進(jìn)行攻擊，該勒索病毒對(duì) Windows 操作系統(tǒng)有很強(qiáng)的破壞力，主要利用 Axpergle 和 Nuclear 漏洞工具包、釣魚郵件 等形式進(jìn)行攻擊。

      在最近的一次攻擊事件中，攻擊者 向受害者發(fā)送帶有附件的釣魚郵件，解壓 附件中的 zip 文件，實(shí)際上得到的是一個(gè) 惡意的 JS 腳本，該腳本被攻擊者進(jìn)行了 代碼混淆，分析后發(fā)現(xiàn)該腳本會(huì)聯(lián)網(wǎng)下載 Shade 勒索病毒樣本。樣本運(yùn)行后首先將 自身復(fù)制到系統(tǒng)目錄下，偽裝成系統(tǒng)文件并將自身設(shè)置為自啟動(dòng)。接著掃描系統(tǒng)文 件，并加密上百種常見類型的文件，加密 后的文件擴(kuò)展名為 .crypted000007，如果所 有文件都加密完成，勒索病毒會(huì)設(shè)置桌面 背景為勒索提示信息，并且采用英俄雙語(yǔ) 提醒受害者電腦中的文件已經(jīng)被加密，同 時(shí)還會(huì)在桌面上創(chuàng)建 10 個(gè)內(nèi)容完全相同的 勒索信，勒索信內(nèi)容也是采用英俄雙語(yǔ)， 并且攻擊者提供了郵箱和 Tor 兩種方式讓 受害者與其聯(lián)系并支付費(fèi)用獲取解密密 鑰。

      安天 CERT 提醒廣大政企客戶，要 提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí) 進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載 非正版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠， 更不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng) 成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的好習(xí) 慣。確保沒(méi)有任何計(jì)算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌面服務(wù)，而是將運(yùn)行遠(yuǎn)程 桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問(wèn)它們。同時(shí)也要做好文件的 備份，以防止勒索軟件加密重要文件后無(wú) 法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。