近日，安天 CERT 在梳理網(wǎng)絡安全事件時發(fā)現(xiàn)了一個名為 Bagli 的勒索軟件。該勒索軟件變種最早于 2021 年 3 月被發(fā)現(xiàn)，主要通過垃圾郵件進行傳播。經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱 IEP）的勒索軟件防護模塊可有效阻止 Bagli 勒索軟件的加密行為。

        Bagli 勒索軟件使用 .NET 框架開發(fā)，運行 后 創(chuàng) 建 名 為 "ExcellToPdf" 的 互 斥 體 保 證單 實 例 運 行， 遍 歷 C:\Users\%UserName%\目 錄 下 的 "Desktop"，"Links"，"Contacts"，"Desktop"，"Documents"，"Downloads"，"Pictures"，"Music"，"OneDrive"，"SavedGames"，"Favorites"，"Searches"，"Videos" 文件夾，對常見后綴名的文本、文檔、 壓 縮 包、 圖 片、 音 視 頻 等 文 件 進 行 加密，采用的加密策略為使用隨機數(shù)覆蓋文件的前 0x10C350 字節(jié)數(shù)據(jù)，并追加文件名后綴".bagli"。因其采用隨機數(shù)覆蓋，所以無法對文件進行解密，但因該勒索軟件沒有刪除卷影的行為，受害者可嘗試通過卷影恢復數(shù)據(jù)。加密完成后在相應目錄下以及啟動項目錄釋放名為 "oxu.txt" 的勒索信，誘騙用戶向指定比特幣地址支付 350 美元的贖金，勒索信所使用的語言為阿塞拜疆語，因此可推測其主要目標為阿塞拜疆用戶。

▲ Bagli 勒索軟件勒索信

        Bagli 勒索軟件采用隨機數(shù)覆蓋的形式加密文件，目前被加密的文件無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；避免使用弱口令或統(tǒng)一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業(yè)務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經(jīng)實現(xiàn)了對該類勒索軟件的鑒定；安天智甲已經(jīng)實現(xiàn)了對該勒索軟件的查殺。