近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 DeathRansom 的勒索軟 件，DeathRansom 勒索軟件最早于 2019 年11 月 19 日被發現，主要通過垃圾郵件和 惡意軟件進行傳播。該勒索軟件目前發現 有兩代變種，第一代只修改后綴名，不對 文件進行加密；第二代不修改后綴名，直 接對文件和可執行程序進行加密。

      第 一 代 DeathRansom 勒 索 軟 件 運 行 后，在原文件名后追加名為“.wctc”的后 綴，但將追加的后綴名刪除后，即可恢復 文件正常使用，不會造成任何影響；第二 代 DeathRansom 勒索軟件偽裝成鬧鐘形式 的圖標，運行后不對計算機內的文件和可執行程序后綴名進行修改，直接進行加密， 導致加密后的文件無法正常運行或讀取， 并在桌面生成名為“read_me.txt”的勒索信， 勒索信內容包含勒索說明、USER_ID、比 特幣支付地址、購買比特幣的教程和郵箱 聯系方式等。DeathRansom 勒索軟件調用 命令行命令來防止受害者恢復已加密的文 件，具體操作為刪除卷影副本、禁用修復、 刪除本地計算機的備份目錄等。目前被加 密的文件在未得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感 染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的口令；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。