近日，安天 CERT 在梳理網絡安全事件時發現一個名為 Buran 的勒索軟件。該勒索軟件首次出現于 2019 年 5 月，是一款基于 RaaS 模式傳播的新型勒索軟件。安天 CERT 研究人員分析判定 Buran 是Jumper 勒索軟件的變種。Buran 在一個著名的俄羅斯論壇中公開售賣，由于獲利豐厚，使其迅速在全球傳播開來，感染范圍甚廣。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止Buran 勒索軟件的加密行為。

      Buran 勒索軟件此前使用 RIG ExploitKit 漏洞利用工具包進行傳播，近期發現該勒索軟件利用 IQY(Microsoft Excel Web查詢文件 ) 進行傳播。Buran 運行后搜索可加密磁盤，為每個可加密磁盤啟動一個勒索軟件進程，采用“AES+RSA”加密算法加密文件并在桌面釋放勒索信。被加密文件重命名為受害者主機 ID。Buran 勒索軟件調用命令行命令防止受害者恢復已加密的文件，具體操作為刪除卷影副本、禁用修復、刪除本地計算機的備份目錄、清空注冊表 RDP 連接記錄、清空系統日志、禁用事件記錄等。目前被加密的文件在未得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

      目前，安天追影產品已經實現了對該類勒索病毒的鑒定；安天智甲已經實現了對該勒索病毒的查殺。