近日，安天 CERT 在梳理網(wǎng)絡安全事件時發(fā)現(xiàn)一個名為 Zhen 的勒索軟件。該勒索軟件最早發(fā)現(xiàn)于 2020 年 9 月，主要通過垃圾郵件進行傳播，郵件附件為勒索軟件程序，郵件內(nèi)容誘使用戶執(zhí)行該程序。該勒索軟件運行后，將在短時間內(nèi)完成對計算機文件的加密操作。經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱 IEP）的勒索軟件防護模塊可有效阻止 Zhen 勒索軟件的加密行為。

        Zhen 勒索軟件樣本運行后，首先，拷貝自身到 %programdata% 目錄下，將拷貝后的文件路徑加入到注冊表啟動項中，實現(xiàn)開機自啟動；其次，創(chuàng)建一個以此拷貝后的文件為主體的子進程，創(chuàng)建后父進程退出，子進程在短時間內(nèi)完成對計算機上相關(guān)文件的加密，在被加密文件的后綴名后追加以“.Zhen”命名的后綴；加密完成后，該勒索軟件在 %programdata% 創(chuàng)建一個名為“read.ini”的勒索信，并在桌面創(chuàng)建一個名為“Read For Decryption”的勒索信快捷方式，同時更換系統(tǒng)桌面為該勒索軟件的勒索提醒圖片，勒索信和勒索提醒圖片中包含了勒索說明、比特幣購買教程、贖金金額（0.3BTC）和勒索者比特幣錢包地址。

▲ Zhen 勒索信

        Zhen 勒索軟件采用“AES+RSA”加密算法，目前被加密的文件在未得到密鑰前暫時無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免一切勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；避免使用弱口令或統(tǒng)一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業(yè)務上無需使用遠程桌面服務，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

        目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該類勒索軟件的鑒定；安天智甲已經(jīng)實現(xiàn)了對該勒索軟件的查殺。