近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)了一個(gè)名為 Venus 的勒索軟件。該勒索軟件最早被發(fā)現(xiàn)于 2021 年 5 月，主要通過(guò)垃圾郵件進(jìn)行傳播。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱 IEP）的勒索軟件防護(hù)模塊可有效阻止Venus 勒索軟件的加密行為。

        Venus 勒索軟件運(yùn)行后結(jié)束特定數(shù)據(jù)庫(kù)進(jìn) 程 和 office 進(jìn) 程， 在 注 冊(cè) 表 路 徑 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下 添 加 啟 動(dòng)項(xiàng)， 以 實(shí) 現(xiàn) 開(kāi) 機(jī) 自 啟 動(dòng)。 創(chuàng) 建 名 為 "R/ZSAciB3QDoYngFEx0p6WPFNbA=" 的 互 斥 體保證單實(shí)例運(yùn)行。向 franavru.xyz 域名發(fā)出請(qǐng)求建立連接以實(shí)現(xiàn)數(shù)據(jù)回傳，通過(guò) ARP 廣播查找內(nèi)網(wǎng)中其他存在的主機(jī)，利用網(wǎng)絡(luò)共享向其他內(nèi)網(wǎng)中的主機(jī)傳播勒索軟件。在含有被加密文件的目錄下創(chuàng)建“README.txt”勒索信文件并修改用戶桌面背景告知受害者已被勒索，需要通過(guò)郵箱（[email protected]）與攻擊者聯(lián)系以獲取具體勒索需求，無(wú)其他聯(lián)系方式。隨后遍歷磁盤(pán)對(duì)特定后綴名的文檔、壓縮包、圖片、音視頻等文件進(jìn)行加密，采用的加密策略為使用隨機(jī) AES 密鑰加密文件，并追加文件名后綴 ".venus"；使用 RSA 非對(duì)稱加密算法加密 AES 密鑰。刪除系統(tǒng)卷影，刪除備份和禁用修復(fù)功能，以防止恢復(fù)被加密文件。

▲ Venus 勒索軟件勒索信息

        Venus 勒索軟件采用“AES+RSA”加密算法組合的形式加密文件，目前被加密的文件暫時(shí)無(wú)法解密。

        安天提醒廣大用戶，及時(shí)備份重要文件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝更新補(bǔ)丁，避免勒索軟件利用漏洞感染計(jì)算機(jī)；對(duì)非可信來(lái)源的郵件保持警惕，避免打開(kāi)附件或點(diǎn)擊郵件中的鏈接；盡量避免打開(kāi)社交媒體分享的來(lái)源不明的鏈接，給信任網(wǎng)站添加書(shū)簽并通過(guò)書(shū)簽訪問(wèn)；避免使用弱口令或統(tǒng)一的密碼；確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取 VPN連接等安全方式，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認(rèn)安全后再運(yùn)行。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該勒索軟件的查殺。