近日，安天 CERT 在梳理網絡安全事件時發現了一個名為 Spyro 的勒索軟件。該勒索軟件最早被發現于 2021 年 6 月，主要通過垃圾郵件進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 Spyro 勒索軟件的加密行為。

        Spyro 勒索軟件運行后，首先通過自定義算法生成 USER_ID，并獲取磁盤已用大小，將 這 些 信 息 通 過 POST 提 交 到“h1dd3n.cc/voidcrypt/index.php”，而后將返回公鑰；然后在 %programData% 目錄下創建“pkey.txt”和“Idk.txt” 文 件， 分 布 保 存 公 鑰 和 USER_ID，同時在 %tmp% 目錄下釋放名為“WindowsSession Manager.exe”的加密程序并運行，該程序運行后，拷貝自身到啟動文件夾，創建多個線程遍歷磁盤文件并對特定后綴名的文檔、壓縮包、圖片、音視頻、非系統應用程序等文件進行加密，加密后的文件名為“原始文件名 +[[email protected]][USER_ID].Spyro”。除此之外，在加密過程中，Spyro 勒索軟件的主程序負責在每個加密文件所在目錄釋放名為“Decrypt-info.txt”的勒索信，該勒索信中僅包含勒索說明和聯系郵箱；該勒索軟件釋放的加密程序還會調用系統命令關閉防火墻、停止相關數據庫服務、禁用系統修復功能和刪除系統備份目錄。由于該勒索軟件未刪除系統卷影副本，可嘗試通過系統卷影進行文件恢復。

▲ Spyro 勒索軟件勒索信息

        Spyro 勒索軟件采用“AES+RSA”加密算法組合的形式加密文件，目前被加密的文件暫時無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。