近日，安天 CERT 在梳理網絡安全事件時發現了一個名為 Hive 的勒索軟件。該勒索軟件最早被發現于 2021 年 6 月，主要通過垃圾郵件進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 Hive 勒索軟件的加密行為。

        Hive 勒索軟件運行后釋放并運行一個名為“shadow.bat”的 bat 腳本文件，該腳本主要功能為調用 vssadmin.exe 命令刪除系統卷影，防止恢復被加密的文件；隨后創建多個線程，對特定后綴名的文檔、壓縮包、圖片、音視頻等文件進行加密，采用 AES 對稱加密算法進行加密，加密后的文件名為“原始文件名 +一段編碼 +.hive”。文件加密過程中，該勒索軟件在自身同目錄下釋放一個名為“hive.bat”文件，同時后臺運行該腳本文件，功能為監控勒索軟件的運行，一旦勒索軟件停止運行將刪除該勒索軟件和 hive.bat 腳本文件。文件加密完成后，用內置的硬編碼 RSA 公鑰對 AES 密鑰進行加密，將其寫入到一個名為“一段編碼 +.key.hive”的文件中并在 D 盤釋放。勒索軟件在每個被加密文件的同目錄下生成名為“HOW_TO_DECRYPT.txt”勒索信，該勒索信內容有勒索說明、暗網聊天室的聯系方式、7 條勒索警告，其中包括在勒索信中警告，如果刪除以 key.hive 為后綴的文件，加密文件將無法解密。

▲ Hive 勒索軟件勒索信息

        Hive 勒索軟件采用“AES+RSA”加密算法組合的形式加密文件，目前被加密的文件暫時無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。