Solara勒索软件

Solara 是近期发现的一种勒索软件，研究人员称其基于公开传播的 Chaos 家族代码构建。像 Solara 这样的勒索软件会加密用户文件、索要赎金，并可能永久中断对重要数据的访问，因此保护设备和备份至关重要。

SOLARA 做什么

在分析过程中，我们发现 Solara 会加密文件，并在文件名后附加文本字符串“.solara”（例如，“1.png”→“1.png.solara”）。该恶意软件还会释放一个名为“read_it.txt”的勒索信息，声称受害者已触发“反破解”保护，并指示受害者从在线攻击者处获取解密工具。一些文章和样本分析将 Solara 与 Chaos 勒索软件家族联系起来，并描述了类似的行为（加密、扩展名替换和明文勒索信息）。

赎金通知和付款索赔

分析师检查的勒索信息声称，如果没有攻击者的解密工具，文件恢复“几乎不可能”。该信息指示受害者联系 Discord 用户 (xenqxd)，并建议使用 Paysafecard（波兰）或小额比特币等付款方式。值得注意的是，一些样本省略了有意义的联系渠道，这可能表明攻击活动不成熟或类似恶作剧，或者攻击者根本不指望谈判。对所有此类要求都应保持高度警惕。

您可以免费恢复文件吗？

一般来说，如果没有正确的解密密钥，被 Chaos 系列威胁加密的文件是无法恢复的。如果您在感染之前拥有干净的离线备份，那么恢复它们是最安全的建议方法。我们不鼓励付费，因为犯罪分子通常不会提供可用的解密器，而且付费反而会助长犯罪活动。

常见感染媒介

• 盗版软件、注册机和伪装成恶意软件的“破解”实用程序。
• 恶意电子邮件附件和链接（Office 宏、脚本、EXE）。
• 受感染的广告、受损或非官方的下载网站、P2P/torrent 网络、USB 驱动器和第三方下载器。

如果怀疑感染，请立即采取行动

立即隔离机器：断开网络（有线/wifi）并卸载任何共享/网络驱动器以阻止横向传播。

保存证据：如果您正在收集内存或法医文物，请不要进行电源循环，而是在有能力的情况下捕获内存和磁盘映像，或者拨打事件响应。

使用备份：一旦恶意软件被删除并且系统重建，就从可信备份中恢复；不要恢复感染时可能已连接的备份。

除非事件响应团队评估了所有选项和后果，否则不要付款；付款并不能保证有效，并且可能会鼓励未来的攻击。

最佳安全实践

保持最新的分层防御，包括日常运营中的以下做法：

补丁管理：及时应用操作系统和应用程序安全更新；许多勒索软件利用已知和已修补的漏洞。

最小特权和帐户卫生：使用非管理员帐户运行用户，对远程访问和特权帐户实施强大的多因素身份验证，并监控异常登录行为。

备份策略：定期创建备份，并将其与网络隔离。毕竟，备份是抵御加密攻击最有效的恢复控制措施。

端点保护和 EDR ：部署信誉良好的端点检测和响应解决方案，以检测执行异常、阻止恶意负载并实现快速遏制。保持签名和遥测功能处于启用状态。

用户教育和防范网络钓鱼：培训用户避免使用破解程序/注册机，验证电子邮件发件人和链接，并对意外附件保持警惕。模拟网络钓鱼和意识宣传活动可以降低人为风险。

应用程序控制和宏限制：默认禁用 Office 宏，阻止从常见滥用位置（例如，%AppData%、临时文件夹）执行，并在可行的情况下使用应用程序允许列表。

结束语

Solara 列举了与公开勒索软件构建器相关的常见风险：分支和变种激增，攻击者不断调整传播方法以针对特定社区（报告强调游戏论坛和盗版软件渠道可能是诱饵）。最佳防御措施是预防、强大的备份、快速遏制，以及与训练有素的响应团队合作，而不是支付赎金。如果您怀疑存在入侵行为并需要逐步清理帮助，请收集示例指标（文件名、哈希值、赎金提示文本），并咨询值得信赖的事件响应提供商或您的安全供应商，获取遏制和恢复指导。