近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一個(gè)名為 Zeppelin 的勒索軟件，該勒索軟件最早發(fā)現(xiàn)于 2019 年 12 月，主要通過(guò)垃圾郵件進(jìn)行傳播，郵件附件為勒索軟件程序，郵件內(nèi)容誘使用戶(hù)執(zhí)行該程序，該勒索軟件程序執(zhí)行后提示重新運(yùn)行 svchost.exe 這一系統(tǒng)文件，確定后系統(tǒng)內(nèi)的文件顯示已經(jīng)被加密。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱(chēng) IEP）的勒索軟件防護(hù)模塊可有效阻止 Zeppelin 勒索軟件的加密行為。

     Zeppelin 勒 索 軟 件 樣 本 運(yùn) 行 后， 提 示svchost.exe 系統(tǒng)文件存在異常，需重新運(yùn)行，重新運(yùn)行后桌面暫時(shí)變?yōu)楹谏?，短暫時(shí)間后桌面恢復(fù)正常并自動(dòng)刷新一次，與此同時(shí)加密計(jì)算機(jī)上的部分文件，但不自動(dòng)彈出勒索提醒和勒索信，在被加密文件原文件后追加以“.[UserID]”命名的后綴。在桌面和所有含有被加密文件的路徑下創(chuàng)建名為“!!! ALL YOUR FILESARE ENCRYPTED !!!”的勒索信，該勒索信內(nèi)容包含勒索說(shuō)明、聯(lián)系郵箱和 User_ID 等。

Zeppelin 勒索信

     Zeppelin 勒索軟件采用“AES+RSA”加密算法，目前被加密的文件在未得到密鑰前暫時(shí)無(wú)法解密。

     安天提醒廣大用戶(hù)，及時(shí)備份重要文件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝更新補(bǔ)丁，避免一切勒索軟件利用漏洞感染計(jì)算機(jī)；對(duì)非可信來(lái)源的郵件保持警惕，避免打開(kāi)附件或點(diǎn)擊郵件中的鏈接；盡量避免打開(kāi)社交媒體分享的來(lái)源不明的鏈接，給信任網(wǎng)站添加書(shū)簽并通過(guò)書(shū)簽訪(fǎng)問(wèn)；避免使用弱口令或統(tǒng)一的密碼；確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取VPN 連接等安全方式，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認(rèn)安全后再運(yùn)行。

     目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類(lèi)勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該勒索軟件的查殺。