近日，安天 CERT 在梳理網絡安全事 件時發現一個名為“Deniz_K?z?”的勒索 軟件，該勒索軟件隸屬于 Keslan 勒索軟 件家族，此家族最早于 2019 年 12 月被發 現，主要通過垃圾郵件傳播，郵件附件中 包 含 一 個 名 為“svchost.exe”（Windows 服務主進程）的勒索程序，目的是偽裝成 Windows 系統中的程序，誘使用戶運行該 勒索程序。

      “Deniz_K?z?” 勒 索 軟 件 運 行 后， 加 密計算機上的文檔文件，在原文件名后追 加名為“.Deniz_K?z?”的后綴。此后綴為 土耳其語的兩個單詞，譯為“美人魚”， 并在桌面文件夾、庫文件夾和系統根目錄下生成名為“Please Read Me!!!.hta”的勒索 信，加密結束后，彈出一個勒索提示窗口， 同時打開勒索信，該勒索信內容包含勒索 說明、郵箱聯系地址、價值 400 美金比特 幣的贖金金額、購買比特幣的教程和兩個 USER_ID 等。“Deniz_K?z?”勒索軟件使 用“RSA+AES”加密算法加密文件，調用 命令行命令來防止受害者恢復已加密的文 件，具體操作為刪除卷影副本、禁用修復、 刪除本地計算機的備份目錄等。目前被加 密的文件在未得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕， 避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的口令；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。