近日，安天 CERT 在梳理網絡安全事件時發現了一個名為 Chaos 的勒索軟件。該勒索軟件被發現于 2021 年 6 月初，主要通過垃圾郵件進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止Chaos 勒索軟件的加密行為。

        Chaos 勒索軟件目前處于升級開發狀態，其設計者在黑客論壇中公開構建器，并廣泛征集修改建議，不斷完善軟件功能。因部分功 能 與 Ryuk 勒 索 軟 件 較 為 相 似， 設 計 者 想將其命名為 Ryuk。該勒索軟件使用 .NET 框架開發，具備反調試功能，運行后創建名為" 7z459ajrk722yn8c5j4fg" 的互斥體保證單實例運 行。 復 制 自 身 至 %Appdata%\Roaming 路徑下并修改文件名為“svchost.exe”，添加注冊 表 項 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Store、在啟動目錄中創建“svchost.url”文件從而實現持久化駐留和自啟動。該勒索軟件不采用加密算法對文件進行加密，而是使用隨機字節數據覆寫原始文件數據，在原文件名后追加“.apis”后綴。在含有被覆寫文件的位置創建“read_apis.txt”勒索信，內容為勒索提醒、贖金金額和比特幣錢包地址。隨后刪除系統卷影，刪除備份和禁用修復功能，以防止恢復被覆寫文件。

▲ Chaos 勒索軟件勒索信

        Chaos 勒索軟件采用隨機字節數據覆蓋的方式覆蓋文件原始數據，會造成文件數據的丟失。無論受害者是否繳納贖金，攻擊者都無法為受害者解密文件。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取 VPN連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。