近日，安天 CERT 在梳理網絡安全事件時發現了一個名為 Combo13 的勒索軟件。該勒索軟件變種最早于 2021 年 4 月被發現，主要通過垃圾郵件進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 Combo13 勒索軟件的加密行為。

        Combo13 勒 索 軟 件 使 用 .NET 框架 開 發， 運 行 后 會 對 C:\Users 目 錄 下“program files”、“program files (x86)”、“programdata”、“windows” 以 外 的 所 有剩 余 目 錄 中 的 除 exe、bat、com、sys、dll、avi、msi、bin、lnk、html 以外的所有類型文件進行加密，被加密的文件會被追加文件名后 綴 ".id-1E192D2A.[[email protected]].combo13"。在加密完成后會向桌面位置釋放兩個文件：FILES ENCRYPTED.bat 與 FILES ENCRYPTED.TXT。前者用于勒索軟件的自刪除。后者為文本文檔格式的勒索信，要求受害者向攻擊者發送一封帶有勒索軟件 ID 的郵件并支付比特幣以恢復文件，具體贖金及比特幣錢包地址未說明。勒索信內容如下圖所示：

▲ Combo13 勒索軟件勒索信

        Combo13 勒索軟件采用隨機字符數據覆蓋的方式覆蓋文件原始數據，因此會造成文件數據的丟失。無論受害者是否繳納贖金，攻擊者都無法為受害者解密文件。但因該勒索軟件沒有刪除卷影的行為，受害者可嘗試通過卷影副本恢復數據。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。