近日，瑞星威脅情報中心捕獲一個名為“大頭”的勒索軟件，該勒索軟件不僅會加密用戶磁盤文件，還會安裝開源的竊密程序，進行文件竊取、圖片截屏、目錄檢索、上傳或下載文件等惡意行為。現瑞星發布“大頭”勒索軟件獨家免費解密工具，以幫助被加密用戶解密受害文件（下載地址：http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe）

圖：“大頭”勒索軟件解密工具

偽裝成Windows更新或Word安裝程序加密文件

瑞星安全專家介紹，“大頭”勒索軟件最早發現自2023年5月，該勒索軟件使用.NET編寫，結合了Power Shell腳本來共同完成攻擊，至今已出現多個變種。通過分析發現，“大頭”勒索軟件疑似偽裝成虛假的Windows更新或Word安裝程序，誘導受害者下載并進行傳播。其啟動后會遍歷所有磁盤，修改受害者屏幕壁紙，并釋放勒索信，加密特定文件，在加密完成后彈出Windows PowerShell憑證請求，提示受害者如果需要解密，可通過郵箱聯系。

圖：“大頭”勒索軟件加密后釋放的勒索信

圖：被勒索軟件修改后的屏幕壁紙

下載后門程序竊取數據

值得注意的是，“大頭”勒索軟件在進行加密的同時，還會在受害者電腦上下載并安裝開源的竊密后門軟件——WorldWind Stealer。該后門軟件常被用于進行文件和數據資料的竊取，會收集受害者電腦內文件、圖片、音頻、主機軟硬件版本、瀏覽器等各類信息，回傳給攻擊者。

在《2022年中國網絡安全報告》中，瑞星安全專家就已對未來勒索軟件進行過預測分析：勒索攻擊者為了更好地保障自身利益，在攻擊過程中會將數據竊取作為輔助手段，一旦勒索不成功，便可以通過售賣數據以牟取利益。

獨家解密工具：

由于“大頭”勒索軟件使用了開源對稱算法的文件加密程序，因此經過瑞星安全專家的技術分析發現，被加密的文件是能夠進行解密恢復的。同時瑞星發布免費解密工具，具體使用方法如下：

圖：“大頭”勒索軟件解密工具

第一步，點擊【選擇路徑】按鈕，找到要解密的文件夾目錄隨后點擊確定。

此時中間的文本框中將會展示要解密的文件夾路徑。

第二步，點擊【開始解密】按鈕，對文件夾內被加密的文件進行解密，解密完成時提示完成解密的文件數量。

解密不會刪除原始文件，完成解密后的文件將恢復原本的后綴格式。

解密前后數據效果展示：

預防措施：

由于勒索軟件不再只是進行加密勒索攻擊，而趨于竊取、售賣數據獲利，因此無論是個人還是企業用戶，都應提高警惕，加強防范。

l 部署網絡安全態勢感知、預警系統等網關安全產品。

網關安全產品可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，幫助企業更快響應和處理。

l 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。目前，瑞星旗下產品已可查殺“大頭”勒索軟件和相關竊密程序，廣大用戶可安裝使用。

圖：瑞星ESM防病毒終端安全防護系統查殺勒索軟件與竊密程序

關鍵詞：