近日，安天 CERT 在梳理網絡安全事件時發現一個名為 VoidCrypt 勒索軟件，該勒索軟件最早發現于 2020 年 4 月，主要通過垃圾郵件進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 VoidCrypt 勒索軟件的加密行為。

      VoidCrypt 勒 索 軟 件 運 行 后， 調 用cmd.exe 實現如下行為：關閉 SQLWriter、S Q L B r o w s e r 、 M S S Q L S E R V E R 、M S S Q L $ C O N T O S O 1 、 M S D T C 、SQLSERVERAGENT、vds 服務；關閉當前網絡防火墻；刪除卷影副本；禁用修復；刪除本地計算機的備份目錄等。之后開始加密計算機上的文件，在被加密文件原文件名后追加名為“Void”的后綴。VoidCrypt 在計算機桌面上創建名為“Decryption-Info.HTA” 的 勒 索 信， 該勒索信內容包含勒索說明、聯系郵箱和Case_ID 等。

VoidCrypt 勒索信

      VoidCrypt 勒索軟件采用 AES+RSA 加密算法，目前被加密的文件在未得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

      目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。