近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 Revon 的勒索軟件變種， 該勒索軟件隸屬于 Phobos 勒索軟件家族， 最早于 2020 年 4 月被發現，主要通過垃 圾郵件傳播。安天智甲終端防御系統（簡 稱 IEP）的勒索軟件防護模塊可有效阻止 Revon 勒索軟件的加密行為。

      Revon 勒索軟件執行后，加密計算機 上的可執行程序和文檔文件，在原文件名 后 追 加 名 為“.id[USER_ID].[werichbin@ protonmail.com].revon” 的 后 綴。 該 勒 索 軟件加密后創建兩種類型的勒索信，一種 為 txt 格式，另一種為 hta 格式，勒索信內容包含勒索說明、聯系郵箱、比特幣購 買 教 程 網 址 和 USER_ID 等。Revon 勒 索 軟件會將自身拷貝到“C:\Users\ 用戶名 \AppData\Local”路徑下并操作注冊表添 加表項，將其設置為開機自啟動。Revon 勒索軟件使用“AES+RSA”加密算法加密 文件，調用命令行命令來防止受害者恢復 已加密的文件，具體操作為刪除卷影副本、 刪除本地計算機的備份目錄等。目前被加 密的文件在未得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應與主機隔離；及時安裝 更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕， 避免打開附件或點擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網站添加書簽并通過書簽訪問； 避免使用弱口令或統一的口令；確保所有 的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠 程桌面服務，建議將其關閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認安全后再運行。

      目前，安天追影產品已經實現了對該 類勒索病毒的鑒定；安天智甲已經實現了 對該勒索病毒的查殺。