近日，安天 CERT 在梳理網絡安全事 件時發現了一個基于 PowerShell 腳本的勒 索軟件 FTCode。該勒索軟件最早在 2013 年被發現，主要通過垃圾郵件進行傳播。 郵件附件中包含惡意宏代碼的 Word 文檔。 該文檔誘使用戶啟用宏查看文檔內容，當 用戶啟用宏后，惡意宏代碼將連接 C2 下 載并執行惡意腳本。

      FTCode 運 行 后， 創 建 名 為 “WindowsApplicationService”的計劃任務 項，解密內置字符串生成一個 RSA 加密密 鑰，刪除磁盤卷影和操作系統備份禁止修復。對指定的文件后綴名進行加密，并追 加 后 綴 名“.FTCODE”。 加 密 結 束 后， FTCode 會在每個加密的文件目錄中創建 一 個 名 為“READ_ME_NOW.htm” 的 網 頁格式的勒索信，勒索信中包含解密說明、 勒索病毒解密網址、安裝 Tor 瀏覽器教程 和 UEER_ID。目前被加密的文件在得到 密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感 染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的密碼；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。