近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一個(gè)名為 Hog 的勒索軟件。該勒索軟件最早于 2021 年 2 月被發(fā)現(xiàn)，主要通過垃圾郵件進(jìn)行傳播，郵件附件為勒索軟件程序，郵件內(nèi)容誘使用戶執(zhí)行該程序。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)的勒索軟件防護(hù)模塊可有效阻止 Hog 勒索軟件的加密行為。

        Hog 勒索軟件使用 AES-256 對(duì)稱加密算法來(lái)加密文件，其中加密算法使用的 Key 為隨機(jī)數(shù)，向量 IV 為硬編碼。除了 C:\Windows路徑下的文件和后綴名為 ".exe",".dll",".ini",".scr",".sys",".vmx",".vmdk" 的 文 件， 其 余 文 件均會(huì)被加密，并在原文件名后追加 ".hog" 后綴，隨后會(huì)從資源文件中釋放解密程序（包含 展 示 勒 索 信 功 能）DECRYPT-MY-FILES.exe 到 Windows 的啟動(dòng)目錄，并把上文隨機(jī)生成的 Key 保存到解密程序末尾，用于之后的解密。該勒索軟件特殊之處為，其并非以索要贖金為目的，而是要求受害者加入指定Discord 服務(wù)器，在解密程序中需要輸入受害者的 Discord 賬戶令牌，解密程序會(huì)通過該令牌驗(yàn)證受害者 Discord 的 API，驗(yàn)證通過即說(shuō)明受害者已加入攻擊者 Discord 服務(wù)器，隨后進(jìn)行解密。該勒索軟件不需要任何贖金，說(shuō)明其可能處于開發(fā)的早期階段。

▲ Hog 勒索信

        Hog 勒索軟件對(duì)文件加解密時(shí)使用的是AES-256 對(duì)稱加密算法，且使用的 Key 和向量 IV 都被硬編碼在解密程序中，因此即使不服從攻擊者的要求，也可對(duì)被加密文件進(jìn)行解密。

        安天提醒廣大用戶，及時(shí)備份重要文件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝更新補(bǔ)丁，避免勒索軟件利用漏洞感染計(jì)算機(jī)；對(duì)非可信來(lái)源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量避免打開社交媒體分享的來(lái)源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；避免使用弱口令或統(tǒng)一的密碼；確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取 VPN 連接等安全方式，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認(rèn)安全后再運(yùn)行。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該勒索軟件的查殺。

        目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該勒索軟件的查殺。