36期報告匯總

安天發布《勒索軟件TeslaCrypt再次來襲》報告
 

       近日，安天追影小組發現了勒索軟件TeslaCrypt的最新變種TeslaCrypt 4.0，并開始進行跟蹤分析。TeslaCrypt是在2015年2月份左右被發現，其是在Cryptolocker的基礎上修改而成的，在第一個版本中，TeslaCrypt聲稱使用非對稱RSA-2048加密算法，但實際上使用的是對稱的AES加密算法，由此Cisco（思科）發布了一款解密工具，在找到可恢復主密鑰的key.dat文件時，可以解密被TeslaCrypt加密的文件；但在之后的多個版本中，TeslaCrypt開始使用非對稱的RSA加密算法，被加密的文件在無密鑰的情況下已經無法成功被解密。

       TeslaCrypt 4.0在2016年3月份開始出現，使用的是RSA-4096加密算法，經追影小組分析，它具有多種特性，例如：加密文件后不修改原文件名、對抗安全工具、具有PDB路徑、利用CMD自啟動、使用非常規的函數調用、同一域名可以下載多個勒索軟件等。同時，TeslaCrypt4.0利用網站掛馬和電子郵件進行傳播，在國內網站掛馬發現的較少，通常利用瀏覽器漏洞（Chrome、Firefox、Internet Explorer）、Flash漏洞和Adobe Reader漏洞進行傳播；而利用電子郵件傳播的數量較多，安天追影小組發現的多起勒索軟件事件也都是通過電子郵件傳播的。

       勒索軟件的泛濫對企業和個人用戶都具有極大的威脅，被加密后的文件無法恢復，將給用戶造成巨大的損失。目前，安天智甲終端防護系統（IEP）可以在用戶失誤點擊運行勒索軟件時阻止其對用戶文件進行加密，安天追影高級威脅分析系統（PTA）則具有自動識別未知勒索軟件的能力。但解決勒索軟件威脅問題除了安裝安全產品、防護產品、備份產品外，更需要用戶在接收郵件時謹慎小心，慎重打開郵件附件或點擊郵件內的鏈接，尤其是來自陌生人的郵件。