近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 DoppelPaymer 的勒索 軟 件 變 種，DoppelPaymer 勒 索 軟 件 最 早 于 2019 年 6 月被發現，主要通過 RDP 暴 力破解和垃圾郵件進行傳播，郵件附件中 帶有一個自解壓文件，運行后釋放勒索軟 件程序并執行。DoppelPaymer 勒索軟件與 INDRIK SPIDER 組織的 BitPaymer 勒索軟 件在部分代碼段、勒索信內容和支付贖金 網頁較為相似，故懷疑 DoppelPaymer 勒索 軟件隸屬于 INDRIK SPIDER 組織。

      自解壓文件運行后在 %Users% 目錄下 創建 gratemin 文件夾，釋放名為 p1q135no. exe 的勒索軟件程序并執行，加密文件后， 在原文件名后追加名為“.locked”的后綴，并在每個被加密文件的目錄中創建名為原 文 件 名 后 追 加“.readme2unlock.txt” 格 式 的勒索信，勒索信中包含勒索說明、TOR 下載地址、支付地址、data 數據信息和郵 箱聯系方式等。DoppelPaymer 勒索軟件變 種使用“RSA+AES”算法加密文件，利用 多線程快速加密文件，使用命令 arp –a 以 解析受害系統的地址解析協議（ARP）表， 調用命令行命令來防止受害者恢復已加密 的文件，具體操作為刪除卷影副本、禁用 修復、刪除本地計算機的備份目錄等。目 前被加密的文件在未得到密鑰前暫時無法 解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝更新補丁，避免一切勒索軟件利用漏洞感 染計算機；對非可信來源的郵件保持警惕， 避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的口令；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。