近日，瑞星威脅情報中心捕獲一個名為“大頭”的勒索軟件，該勒索軟件不僅會加密用戶磁盤文件，還會安裝開源的竊密程序，進(jìn)行文件竊取、圖片截屏、目錄檢索、上傳或下載文件等惡意行為。現(xiàn)瑞星發(fā)布“大頭”勒索軟件獨家免費解密工具，以幫助被加密用戶解密受害文件（下載地址：http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe）

圖：“大頭”勒索軟件解密工具

偽裝成Windows更新或Word安裝程序加密文件

瑞星安全專家介紹，“大頭”勒索軟件最早發(fā)現(xiàn)自2023年5月，該勒索軟件使用.NET編寫，結(jié)合了Power Shell腳本來共同完成攻擊，至今已出現(xiàn)多個變種。通過分析發(fā)現(xiàn)，“大頭”勒索軟件疑似偽裝成虛假的Windows更新或Word安裝程序，誘導(dǎo)受害者下載并進(jìn)行傳播。其啟動后會遍歷所有磁盤，修改受害者屏幕壁紙，并釋放勒索信，加密特定文件，在加密完成后彈出Windows PowerShell憑證請求，提示受害者如果需要解密，可通過郵箱聯(lián)系。

圖：“大頭”勒索軟件加密后釋放的勒索信

圖：被勒索軟件修改后的屏幕壁紙

下載后門程序竊取數(shù)據(jù)

值得注意的是，“大頭”勒索軟件在進(jìn)行加密的同時，還會在受害者電腦上下載并安裝開源的竊密后門軟件——WorldWind Stealer。該后門軟件常被用于進(jìn)行文件和數(shù)據(jù)資料的竊取，會收集受害者電腦內(nèi)文件、圖片、音頻、主機(jī)軟硬件版本、瀏覽器等各類信息，回傳給攻擊者。

在《2022年中國網(wǎng)絡(luò)安全報告》中，瑞星安全專家就已對未來勒索軟件進(jìn)行過預(yù)測分析：勒索攻擊者為了更好地保障自身利益，在攻擊過程中會將數(shù)據(jù)竊取作為輔助手段，一旦勒索不成功，便可以通過售賣數(shù)據(jù)以牟取利益。

獨家解密工具：

由于“大頭”勒索軟件使用了開源對稱算法的文件加密程序，因此經(jīng)過瑞星安全專家的技術(shù)分析發(fā)現(xiàn)，被加密的文件是能夠進(jìn)行解密恢復(fù)的。同時瑞星發(fā)布免費解密工具，具體使用方法如下：

圖：“大頭”勒索軟件解密工具

第一步，點擊【選擇路徑】按鈕，找到要解密的文件夾目錄隨后點擊確定。

此時中間的文本框中將會展示要解密的文件夾路徑。

第二步，點擊【開始解密】按鈕，對文件夾內(nèi)被加密的文件進(jìn)行解密，解密完成時提示完成解密的文件數(shù)量。

解密不會刪除原始文件，完成解密后的文件將恢復(fù)原本的后綴格式。

解密前后數(shù)據(jù)效果展示：

預(yù)防措施：

由于勒索軟件不再只是進(jìn)行加密勒索攻擊，而趨于竊取、售賣數(shù)據(jù)獲利，因此無論是個人還是企業(yè)用戶，都應(yīng)提高警惕，加強(qiáng)防范。

l 部署網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。

網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報追溯威脅行為軌跡，幫助用戶進(jìn)行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，幫助企業(yè)更快響應(yīng)和處理。

l 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。目前，瑞星旗下產(chǎn)品已可查殺“大頭”勒索軟件和相關(guān)竊密程序，廣大用戶可安裝使用。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺勒索軟件與竊密程序

關(guān)鍵詞：