背景概述

國外安全研究員在3月發現了一款名為Golden Axe的勒索病毒，Golden Axe是一款用go語言編寫的勒索病毒，使用基于RSA公匙加密體系的郵件加密軟件PGP開源代碼對文件進行加密。

國外安全研究員在曝光Golden Axe勒索病毒時提到，該勒索病毒加密后綴為.UIK1J，但經過深信服安全團隊對捕獲樣本的詳細分析，該勒索軟件實際上是加密后修改文件后綴為五位隨機字符，每一次加密后生成的文件后綴都不相同；盡管不能通過加密后綴來識別該勒索病毒，但Golden Axe勒索病毒的勒索信息文件卻具有很高的辨識度，命名為＃instructions-ID＃.txt/vbs/jpg。

勒索特征

1.加密后修改文件后綴為五位隨機字符，如圖所示：

2.每個目錄下釋放勒索信息文件，如圖：

# instructions-UXPCO #.jpg

# instructions-UXPCO #.txt

# instructions-UXPCO #.vbs

詳細分析

 1.樣本首先連接iplogger.org查詢主機IP信息：

2.遍歷磁盤：

3.生成RSA公鑰：

4.使用PGP算法加密文件：

5.釋放勒索信息文件：

6.被加密的文件結尾都會被拼接加密信息：

解決方案

針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施，防范該病毒家族的勒索攻擊。

病毒防御

深信服安全團隊再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

1. 及時給電腦打補丁，修復漏洞。

2. 對重要的數據文件定期進行非本地備份。

3. 不要點擊來源不明的郵件附件，不從不明網站下載軟件。

4. 盡量關閉不必要的文件共享權限。

5. 更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

6. 如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散！

7. 深信服防火墻、終端檢測響應平臺（EDR）均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。

8. 深信服防火墻客戶，建議升級到AF805版本，并開啟人工智能引擎Save，以達到最好的防御效果。

9. 使用深信服安全產品，接入安全云腦，使用云查服務可以即時檢測防御新威脅。

最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+防火墻+EDR，對內網進行感知、查殺和防護。

責任編輯：韓希宇