近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一個(gè)名為 DaVinci 的勒索軟件，該勒索軟件發(fā)現(xiàn)于 2020 年 8 月中旬，主要通過(guò)垃圾郵件進(jìn)行傳播，郵件附件為勒索軟件程序，郵件內(nèi)容誘使用戶執(zhí)行該程序，該勒索軟件程序執(zhí)行后不會(huì)對(duì)文件進(jìn)行加密，而是調(diào)用CMD 命令行程序直接刪除文件，創(chuàng)建屏幕鎖程序作為勒索信。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱 IEP）的勒索軟件防護(hù)模塊可有效阻斷 DaVinci 勒索軟件的行為。

     DaVinci 勒索軟件運(yùn)行后，生成屏幕鎖程序覆蓋用戶桌面，快速將屏幕鎖程序結(jié)束后未發(fā)現(xiàn)對(duì)文件進(jìn)行加密和添加后綴名的行為，而是通過(guò)調(diào)用 CMD 命令行程序刪除文件，在 CMD 命令行界面中可以觀察到遍歷文件的行為，以及有訪問(wèn)文件路徑成功和訪問(wèn)文件路徑失敗的記錄，執(zhí)行命令將可訪問(wèn)路徑下的文件進(jìn)行刪除，通過(guò)屏幕鎖程序掩蓋其行為。屏幕鎖程序界面為勒索軟件說(shuō)明，包含訂閱 YouTube 賬號(hào)、關(guān)注 Instagram 賬號(hào)、發(fā)送價(jià)值 300 美元的比特幣到指定錢包地址和通過(guò)郵箱與攻擊者進(jìn)行聯(lián)系。

DaVinci 勒索信