近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時(shí)發(fā)現(xiàn)一個(gè)名為 TFlower 的勒索軟件。 該勒索軟件最早發(fā)現(xiàn)于 2019 年 7 月底，針 對(duì)企業(yè)用戶進(jìn)行勒索，主要通過(guò) RDP 暴力 破解進(jìn)行傳播，并使用 PowerShell Empire 和 PSExec 進(jìn)行內(nèi)網(wǎng)橫向移動(dòng)。

      TFlower 執(zhí)行后，會(huì)通過(guò)控制臺(tái)窗口 顯示加密文件時(shí)所執(zhí)行的操作；連接 C2 發(fā)送主機(jī)名、狀態(tài)信息和加密文件數(shù)；查 找并結(jié)束 outlook.exe 進(jìn)程，避免文件被該 進(jìn)程占用而導(dǎo)致不能加密的情況；修改注 冊(cè)表項(xiàng)以達(dá)到開機(jī)自啟動(dòng)的目的；不加密 windows 和 sample Music 文 件 夾， 保 證 系統(tǒng)正常運(yùn)行；刪除卷影副本、禁用自動(dòng)修 復(fù)功能、刪除本地計(jì)算機(jī)的備份目錄防止 受害者恢復(fù)已加密的文件。該勒索軟件并 沒有追加后綴名而是在文件首段添加了包 含“*tflower”標(biāo)志的字符串。TFlower 會(huì) 在桌面創(chuàng)建一封名為“!_Notice_!.txt”的 勒索信 , 勒索信中包含郵件聯(lián)系地址等信 息。目前被加密的文件在未得到密鑰前暫 時(shí)無(wú)法解密。

      安天提醒廣大用戶，及時(shí)備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝 更新補(bǔ)丁，避免一切勒索軟件利用漏洞感 染計(jì)算機(jī)；對(duì)非可信來(lái)源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量 避免打開社交媒體分享的來(lái)源不明的鏈 接，給信任網(wǎng)站添加書簽并通過(guò)書簽訪問(wèn)； 避免使用弱口令或統(tǒng)一的密碼；確保所有 的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取 VPN 連接等安全方式，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認(rèn)安全后再運(yùn)行。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類勒索病毒的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對(duì)該勒索病毒的查殺。