近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 Rapid 的勒索軟件變種， Rapid 勒索軟件最早于 2018 年 1 月被發現， 主要通過釣魚郵件進行傳播，郵件附件中 包含帶有惡意宏代碼的 Word 文檔，該文 檔誘使用戶啟用宏查看文檔內容，當用戶 啟用宏后，惡意宏代碼將連接 C2 下載并 執行 Rapid 勒索軟件。

      Rapid 勒索軟件執行后，加密計算機 中的文檔文件和可執行文件，將原文件名 修改為大寫英文字母和數字組合成的十位 隨機名稱，并追加名為“.cryptolocker”的 后綴，在桌面和所有含有被加密文件的位 置創建名為“userkey.dat”的文件和名為“!DECRYPT_FILES.txt” 的 勒 索 信， 查 看“userkey.dat”文件中的內容為 USER_ ID，勒索信內容包含勒索說明和 USER_ ID 等。Rapid 勒索軟件創建多個線程不斷 掃描文件，對新創建的文件也進行加密， 使用“RSA+AES”加密算法加密文件，調 用命令行命令來防止受害者恢復已加密的 文件，具體操作為刪除卷影副本、禁用修 復、刪除本地計算機的備份目錄等。目前 被加密的文件在未得到密鑰前暫時無法解 密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕， 避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的口令；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。