近日，安天 CERT 在梳理網絡安全 事件時發現一個名為 Prolock 的勒索軟 件變種，Prolock 勒索軟件最早于 2020 年 3 月被發現，主要通過 RDP 爆破進行 傳播。

      Prolock 勒索軟件執行后，加密計算 機上的重要文件，在原文件名后追加名 為“.proLock”的后綴，在計算機所有 目錄下創建名為“[HOW TO RECOVER FILES].TXT”的勒索信，勒索信內容包 含勒索說明和交付贖金的方法。ProLock 勒索軟件嵌入一個名為“WinMgr.bmp” 的 BMP 圖 像 中， 通 過 PowerShell 腳 本 直接注入內存中運行。ProLock 勒索軟件使用“AES+RSA”加密算法加密文件， 調用命令行命令來防止受害者恢復已加 密的文件，具體操作為刪除卷影副本。 安天于 3 月初發現一個名為 PwndLocker 的勒索軟件，由于存在缺陷，被加密的 文件存在恢復的可能。目前攻擊者已修 復了之前版本的缺陷并將其后綴名更改 為“.proLock”，被加密的文件在未得 到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要 文件，且文件備份應與主機隔離；及時 安裝更新補丁，避免一切勒索軟件利用 漏洞感染計算機；對非可信來源的郵件 保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的 來源不明的鏈接，給信任網站添加書簽 并通過書簽訪問；避免使用弱口令或統 一的口令；確保所有的計算機在使用遠 程桌面服務時采取 VPN 連接等安全方 式，如果業務上無需使用遠程桌面服務， 建議將其關閉；可以使用反病毒軟件（如 安天智甲）掃描郵件附件，確認安全后 再運行。

      目前，安天追影產品已經實現了對 該類勒索病毒的鑒定；安天智甲已經實 現了對該勒索病毒的查殺。