近日，安天 CERT 在梳理網絡安全事件時發現一個名為 MountLocker 的勒索軟件。該勒索軟件最早于 2020 年 7 月被發現，在2020 年 11 月上旬進行了更新，擴大加密文件類型的范圍并增加逃避安全軟件功能，主要通過垃圾郵件和 CobaltStrike Beacon 進行傳播，郵件附件為勒索軟件程序，郵件內容誘使用戶執行該程序。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 MountLocker 勒索軟件的加密行為。

        MountLocker 勒索軟件樣本運行后，通過批處理文件從受害主機中竊取敏感文檔回傳到指定的 FTP 服務器，隨后創建多個線程，在短時間內完成對計算機上相關文件的加密，在被加密文件的后綴名后追加以“.ReadManual.八位隨機字符串”命名的后綴。加密完成后，刪除系統卷影副本，以防止恢復加密文件，并在加密文件所在的文件夾中創建一個名為“RecoveryManual.html”的勒索信，該勒索信具體內容包含了勒索說明、暗網聯系地址。為了迫使受害者盡快繳納贖金，勒索信中威脅受害者如在接下來的幾天不聯系攻擊者，其將在網上公布受害者數據。

▲ MountLocker 勒索信

        MountLocker 勒索軟件采用“ChaCha20+RSA”加密算法加密文件，并使用 RSA-2048對文件加密密鑰進行加密，目前被加密的文件在未得到密鑰前暫時無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。