病毒预报  第八百二十一期

国家计算机病毒应急处理中心通过对互联网的监测，发现名为“SNATCH”的Windows平台勒索软件的新变种，该勒索软件强制计算机重新启动进入安全模式，禁用或卸载防病毒和其他安全软件，并将该勒索软件作为服务启动，然后对计算机进行全盘加密。该勒索软件针对企业用户进行攻击，受害者需支付价值2000至35000美元的比特币才能解密文件。

SNATCH勒索软件最早在2018年出现，攻击者一直较为活跃，此次发现的版本较之前版本增加了安全模式启动功能。恶意软件包括一个勒索软件组件和一个单独的数据窃取器，这两个工具都是由网络罪犯开发的。SNATCH勒索软件使用GO语言编写，目前只能在Windows7到Windows10的32位和64位系统下运行，恶意程序使用开源打包程序UPX打包，进行了内容混淆。勒索软件采用主动自动攻击模式，对易存在漏洞的服务进行自动暴力攻击来渗透企业网络，并在目标组织的网络内部进行传播。攻击者在选择攻击目标时采取收集计算机数据然后选择适合的目标的策略而代替之前大规模分发传播的方式。主要利用微软远程桌面、VNC、Teamviewer、Webshell和SQL注入感染计算机甚至是企业内网。成功入侵后SNATCH勒索软件先收集企业相关信息和敏感资料，经过数周后，攻击者才会进行下一步攻击。SNATCH勒索软件将自身伪装成系统服务，并将名称伪装为SuperBackupMan，该名称是系统备份用的工具，使用户放松警惕。该勒索软件一旦被安装就无法卸载、暂停或停止运行。SNATCH勒索软件会强制重新启动计算机自动进入安全模式，在安全模式里将反病毒或安全软件直接卸载。为防止用户通过备份恢复数据该勒索软件还会寻找并删除所有能够找到的 Windows 卷影备份或系统还原点。

针对该勒索软件的特点，建议企业用户采取以下措施予以防范，一是使用高强度密码，并定期更换；二是应将远程桌面服务连接入口置于VPN后，需要VPN凭据登录连接后才能访问；三是定期进行重要文件的非本地备份。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心