近日，安天 CERT 在梳理網絡安全事件時發現一個名為 DearCry 的勒索軟件。該勒索軟件最早于 2021 年 3 月被發現，主要通過利用 Microsoft Exchange Server 相關漏洞進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 DearCry 勒索軟件的加密行為。

        攻 擊 者 通 過 利 用 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和CVE-2021-27065 的漏洞組合實現 DearCry勒索軟件落地。該勒索軟件使用 AES-256加密算法來加密文件，并使用硬編碼的RSA 公鑰加密 AES 密鑰。樣本在加密文件時，首先會創建被加密文件的副本，并將副本命名為原文件名同時追加 ".CRYPT"后綴，隨后把加密的文件內容寫入其中，將原文件用 1MB 大小的 0x41 數據內容覆蓋，然后刪除原文件，通過覆寫文件的方式防止恢復數據。該樣本不能自動傳播，需要通過人為利用漏洞投放，且沒有刪除卷影的功能。樣本會在磁盤根目錄下和路徑中包含字符串“desktop”的目錄下創建名為“readme.txt”的勒索信，勒索信中包含一個 HASH 和聯系郵箱，攻擊者可通過該 HASH 得知受害者所用的 RSA 公鑰。具體勒索金額和贖回方式需要和攻擊者聯系。

▲ DearCry 勒索信

        DearCry 勒 索 軟 件 采 用“AES-256 + RSA-2048”加密文件，目前被加密的文件在未得到密鑰前暫時無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。

        目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。