近日，安天 CERT 在梳理網絡安全事件時發現一個名為 PwndLocker 的勒索軟件，PwndLocker 勒索軟件最早于 2019 年12 月被發現，主要通過釣魚郵件和 RDP暴力破解進行傳播。PwndLocker 勒索軟件家族主要目標為市政和企業網絡，近期針對多個城市和組織發動攻擊。

      PwndLocker 勒 索 軟 件 執 行 后， 會 跳過部分文件夾加密計算機上的文件，在原文件名后追加名為“.pwnd”的后綴，在計 算 機 所 有 目 錄 下 創 建 名 為“H0w_T0_Rec0very_Files.txt”的勒索信，勒索信中包含一個電子郵件地址和 Tor 付款站點，用于獲取付款說明和贖金金額。PwndLocker勒索軟件運行后結束與備份應用程序和數據庫服務器有關的進程，禁用與數據庫有關的 Windows 服務和安全軟件服務。PwndLocker 勒 索 軟 件 使 用“AES+RSA”加密算法加密文件，調用命令行命令來防止受害者恢復已加密的文件，具體操作為刪除卷影副本。由于 PwndLocker 勒索軟件存在缺陷，被加密的文件存在恢復的可能。

      安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的口令；確保所有的計算機在使用遠程桌面服務時采取 VPN連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

      目前，安天追影產品已經實現了對該類勒索病毒的鑒定；安天智甲已經實現了對該勒索病毒的查殺。