近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 Odveta 的勒索軟件變 種，該勒索軟件隸屬于 Ouroboros 勒索軟 件家族，此家族最早于 2019 年 4 月被發現， 主要通過垃圾郵件傳播。

      Odveta 勒 索 軟 件 執 行 后， 加 密 計 算 機上的可執行程序和文檔文件，在原文 件 名 后 追 加 名 為“.Email=[ 聯 系 郵 箱 ] ID=[USER_ID].Odveta” 的 后 綴， 以 兩 種 不 同 方 式 創 建 勒 索 信， 其 中 一 個 是 在 %programdata% 目 錄 下 釋 放 并 運 行 名 為“uiapp.exe” 的 可 執 行 文 件， 另 一 個 是在含有被加密文件的目錄下創建名為“Unlock-Files.txt”的文本文件，勒索信內容包含勒索說明、聯系郵箱、比特幣購買 教程網址、數據加密算法和 USER_ID 等。 勒索軟件使用“AES+RSA”加密算法加密 文件，調用多個命令行進程關閉系統防火 墻、SQLSERVER 等服務，同時調用命令 行命令來防止受害者恢復已加密的文件， 具體操作為刪除卷影副本、刪除本地計算 機的備份目錄等。目前被加密的文件在未 得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的口令；確保所有的計算機在使用遠程桌面服務時采取 VPN連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

      目前，安天追影產品已經實現了對該類勒索病毒的鑒定；安天智甲已經實現了對該勒索病毒的查殺。