安天智甲有效防护 Chaos 勒索软件

近日，安天 CERT 在梳理 络安全事件时发现了一个名为 Chaos 的勒索软件。该勒索软件被发现于 2021 年 6 月初，主要通过垃圾邮件进行传播。经验证，安天智甲终端防御系统（简称 IEP）的勒索软件防护模块可有效阻止Chaos 勒索软件的加密行为。

Chaos 勒索软件目前处于升级开发状态，其设计者在黑客论坛中公开构建器，并广泛征集修改建议，不断完善软件功能。因部分功 能 与 Ryuk 勒 索 软 件 较 为 相 似， 设 计 者 想将其命名为 Ryuk。该勒索软件使用 .NET 框架开发，具备反调试功能，运行后创建名为” 7z459ajrk722yn8c5j4fg” 的互斥体保证单实例运 行。 复 制 自 身 至 %Appdata%Roaming 路径下并修改文件名为“svchost.exe”，添加注册 表 项 HKCUSoftwareMicrosoftWindowsCurrentVersionRunMicrosoft Store、在启动目录中创建“svchost.url”文件从而实现持久化驻留和自启动。该勒索软件不采用加密算法对文件进行加密，而是使用随机字节数据覆写原始文件数据，在原文件名后追加“.apis”后缀。在含有被覆写文件的位置创建“read_apis.txt”勒索信，内容为勒索提醒、赎金金额和比特币钱包地址。随后删除系统卷影，删除备份和禁用修复功能，以防止恢复被覆写文件。

▲ Chaos 勒索软件勒索信

Chaos 勒索软件采用随机字节数据覆盖的方式覆盖文件原始数据，会造成文件数据的丢失。无论受害者是否缴纳赎金，攻击者都无法为受害者解密文件。