近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時發(fā)現(xiàn)一個名為 Unique 的勒索軟件變 種，該勒索軟件隸屬于 IEncrypt 勒索軟件 家族，此變種于 2020 年 1 月被發(fā)現(xiàn)，主要 通過垃圾郵件和 RDP 爆破進(jìn)行傳播。

      Unique 勒 索 軟 件 執(zhí) 行 后， 加 密 計 算機(jī)上的文檔文件，在原文件名后追加名為“.un1que”的后綴 , 每加密一個文件都會在該文件同一目錄下創(chuàng)建名為“原文件名+.un1que_readme”的勒索信，該勒索信內(nèi)容包含勒索說明、聯(lián)系郵箱和 USER_ID等。Unique 勒 索 軟 件 使 用“RSA+AES”加密算法加密文件，將自身移動至系統(tǒng)臨時目錄下，并利用 Windows 系統(tǒng) NTFS 文件流（ADS）技術(shù)實現(xiàn)隱藏，通過 ARP 和 NSLOOKUP 命令掃描局域網(wǎng)主機(jī)，對存 活主機(jī)進(jìn)行探測。調(diào)用命令行命令來防止 受害者恢復(fù)文件，具體操作為刪除卷影副 本、禁用修復(fù)、刪除本地計算機(jī)的備份目 錄等。目前被加密的文件在未得到密鑰前 暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時安裝 更新補(bǔ)丁，避免一切勒索軟件利用漏洞感 染計算機(jī)；對非可信來源的郵件保持警惕， 避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問； 避免使用弱口令或統(tǒng)一的口令；確保所有 的計算機(jī)在使用遠(yuǎn)程桌面服務(wù)時采取 VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認(rèn)安全后再運行。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該 類勒索病毒的鑒定；安天智甲已經(jīng)實現(xiàn)了 對該勒索病毒的查殺。