近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時(shí)發(fā)現(xiàn)一個(gè)名為 Major 的勒索軟件變種， Major 勒索軟件又名 Bmps 勒索軟件，最早 于 2019 年 4 月在波蘭被發(fā)現(xiàn)，主要通過垃 圾郵件進(jìn)行傳播，郵件附件包含一個(gè) .tar 的壓縮文件，該附件誘使用戶解壓 Major 勒索軟件程序并執(zhí)行。

      勒索軟件 Major 執(zhí)行后，首先會(huì)加密 計(jì)算機(jī)上的文件并修改桌面背景，在原文 件名后追加名為“.（感染主機(jī) ID）.ex_ [email protected]”的后綴。加密結(jié)束后， 在每個(gè)被加密文件目錄中和桌面創(chuàng)建一個(gè) 名為“TRY_TO_READ.html”格式的勒索信，勒索信中包含勒索說(shuō)明、三個(gè)聯(lián)系郵 箱地址和 USER_ID，受害者可通過郵箱 發(fā)送 USER_ID 和被加密文件與攻擊者進(jìn) 行交互，得知需要支付的贖金金額。Major 勒索軟件變種使用“RSA+AES”算法加密 文件，調(diào)用命令行命令來(lái)防止受害者恢復(fù) 已加密的文件，具體操作為刪除卷影副本、 禁用修復(fù)、刪除本地計(jì)算機(jī)的備份目錄等。 目前被加密的文件在得到密鑰前暫時(shí)無(wú)法 解密。

      安天提醒廣大用戶，及時(shí)備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝 更新補(bǔ)丁，避免一切勒索軟件利用漏洞感染計(jì)算機(jī)；對(duì)非可信來(lái)源的郵件保持警惕， 避免打開附件或點(diǎn)擊郵件中的鏈接；盡量 避免打開社交媒體分享的來(lái)源不明的鏈 接，給信任網(wǎng)站添加書簽并通過書簽訪問； 避免使用弱口令或統(tǒng)一的密碼；確保所有 的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取 VPN 連接等安全方式，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認(rèn)安全后再運(yùn)行。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類勒索病毒的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對(duì)該勒索病毒的查殺。