近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時發(fā)現(xiàn)了一個名為 Bam 的勒索軟件。該勒索軟件最早于 2017 年 7 月出現(xiàn)，此變種被發(fā)現(xiàn)于 2021 年 6 月初，主要通過垃圾郵件進(jìn)行傳播。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱 IEP）的勒索軟件防護(hù)模塊可有效阻止 Bam 勒索軟件的加密行為。

        Bam 勒 索 軟 件 運(yùn) 行 后 在 注 冊 表 路 徑HKEY_CURRENT_USER\Software\ 下添加 Rs項(xiàng)，其鍵值包含隨機(jī)生成的用戶 ID。同時在桌面上創(chuàng)建“autorun.inf”和“Notify.jpg”兩個屬性為隱藏的文件，通過文件內(nèi)容判斷，“autorun.inf”文件的功能為實(shí)現(xiàn)勒索軟件自動運(yùn)行；“Notify.jpg”圖片文件為勒索信息，并將其修改為用戶桌面背景告知受害者已被勒索。根據(jù)圖片文件對比發(fā)現(xiàn)，此前版本是通過郵箱（[email protected]、[email protected]）與攻擊者聯(lián)系獲取具體要求，當(dāng)前版本要求受害者支付價值 300 美元的比特幣發(fā)到指定的比特幣錢包地址，無其他聯(lián)系方式。隨后遍歷磁盤對特定后綴名的文檔、壓縮包、圖片、音視頻等文件進(jìn)行加密，采用的加密策略為使用隨機(jī) AES密鑰加密文件，并追加文件名后綴 ".bam!"；然后使用 RSA 非對稱加密算法加密 AES 密鑰。因其沒有刪除卷影，受害者可嘗試通過卷影恢復(fù)數(shù)據(jù)。Bam 勒索軟件采用“AES+RSA”組合的形式加密文件，目前被加密的文件暫時無法解密。

▲ Bam 勒索軟件勒索信息

        安天提醒廣大用戶，及時備份重要文件，且文件備份應(yīng)與主機(jī)隔離；及時安裝更新補(bǔ)丁，避免勒索軟件利用漏洞感染計(jì)算機(jī)；對非可信來源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；避免使用弱口令或統(tǒng)一的密碼；確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時采取VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認(rèn)安全后再運(yùn)行。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該類勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對該勒索軟件的查殺。