近日，安天 CERT 在梳理網(wǎng)絡(luò)安全 事件時發(fā)現(xiàn)一個名為 ERIS 的勒索軟件， ERIS 最 初 是 由 國 外 安 全 研 究 員 Michael Gillespie 在 2019 年 5 月發(fā)現(xiàn)。該勒索軟件 最初主要通過垃圾郵件進(jìn)行傳播。據(jù)國外 漏洞利用工具包研究員 nao_sec 所說，在 近期的樣本中發(fā)現(xiàn)該勒索軟件使用 RIG 漏 洞利用工具包通過廣告聯(lián)盟進(jìn)行分發(fā)。根 據(jù) nao_sec 的 說 法， 用 戶 訪 問 popcash 廣 告聯(lián)盟時，會被重定向到 RIG 漏洞利用 工具包，該工具包將嘗試?yán)脼g覽器中的 Shockwave（SWF）漏洞進(jìn)行植入。一旦成 功，它將自動下載并安裝 ERIS 勒索軟件 到計算機(jī)上。

      勒索軟件 ERIS 執(zhí)行后，會加密計算 機(jī)上的文件，創(chuàng)建文件的加密副本，刪除 卷影副本并追加后綴名“.eris”。該勒索 軟件使用“RSA+Salsa20”算法加密文件， 通過二進(jìn)制查看被加密的文件發(fā)現(xiàn)文件末 尾都帶有“_FLAG_ENCRYPTED”標(biāo)記， 表明文件已被該勒索軟件加密。加密結(jié)束 后，ERIS 會創(chuàng)建一個名為“@ READ ME TO RECOVER FILES @.txt”的勒索信， 勒索信中包含比特幣地址、USER_ID、解 密說明。目前被加密的文件在未得到密鑰 時暫無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時安裝更新補(bǔ)丁，避免一切勒索軟件利用漏洞感 染計算機(jī)；對非可信來源的郵件保持警惕， 避免打開附件或點(diǎn)擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網(wǎng)站添加書簽并通過書簽訪問； 避免使用弱口令或統(tǒng)一的密碼；確保所有 的計算機(jī)在使用遠(yuǎn)程桌面服務(wù)時采取 VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如 安天智甲）掃描郵件附件， 確認(rèn)安全后再運(yùn)行。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該 類勒索病毒的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對該勒索病毒的查殺。