近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)了一個(gè)名為 Imshifau 的勒索軟件，最早于2021 年 7 月被發(fā)現(xiàn)，主要通過垃圾郵件進(jìn)行傳播。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）的勒索軟件防護(hù)模塊可有效阻止勒索軟件的加密行為。

        Imshifau 勒索軟件運(yùn)行后，復(fù)制自身程序到 %Appdata% 目錄下，在注冊(cè)表路徑“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce” 下 添 加 啟動(dòng)項(xiàng)，以實(shí)現(xiàn)開機(jī)自啟動(dòng)。在短時(shí)間內(nèi)完成對(duì)計(jì)算機(jī)上相關(guān)文件的加密，將被加密文件的文件名替換為隨機(jī)生成的字符串并追加以“.imshifau”命名的后綴。加密完成后，嘗試在遍歷到的文件夾中創(chuàng)建一個(gè)名為“INFO OF DECRYPT.TXT”的勒索信，該勒索信具體內(nèi)容包含了勒索說明、聯(lián)系方式等。為了誘導(dǎo)受害者盡快繳納贖金，勒索信中強(qiáng)調(diào)了在加密的76 小時(shí)后仍未付款，將會(huì)自動(dòng)增加贖金金額。

▲ Imshifau 勒索軟件勒索信息

        Imshifau 勒索軟件采用“AES+RSA”加密算法組合的形式加密文件，目前被加密的文件暫時(shí)無法解密。

        安天提醒廣大用戶，及時(shí)備份重要文件，且文件備份應(yīng)與主機(jī)隔離；及時(shí)安裝更新補(bǔ)丁，避免勒索軟件利用漏洞感染計(jì)算機(jī)；對(duì)非可信來源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；避免使用弱口令或統(tǒng)一的密碼；確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)采取VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認(rèn)安全后再運(yùn)行。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類勒索軟件的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該勒索軟件的查殺。