Solara勒索軟體

Solara 是近期發現的一種勒索軟體，研究人員稱其基於公開傳播的 Chaos 家族程式碼建構。像 Solara 這樣的勒索軟體會加密用戶文件、索取贖金，並可能永久中斷對重要資料的訪問，因此保護設備和備份至關重要。

SOLARA 做什麼

在分析過程中，我們發現 Solara 會加密文件，並在檔案名稱後面附加文字字串「.solara」（例如，「1.png」→「1.png.solara」）。該惡意軟體還會釋放一個名為「read_it.txt」的勒索訊息，聲稱受害者已觸發「反破解」保護，並指示受害者從線上攻擊者處獲取解密工具。一些文章和樣本分析將 Solara 與 Chaos 勒索軟體家族聯繫起來，並描述了類似的行為（加密、擴展名替換和明文勒索資訊）。

贖金通知和付款索賠

分析師檢查的勒索資訊聲稱，如果沒有攻擊者的解密工具，檔案恢復「幾乎不可能」。這些資訊指示受害者聯繫 Discord 用戶 (xenqxd)，並建議使用 Paysafecard（波蘭）或小額比特幣等付款方式。值得注意的是，一些樣本省略了有意義的聯繫管道，這可能表明攻擊活動不成熟或類似惡作劇，或者攻擊者根本不指望談判。對所有此類要求都應保持高度警惕。

您可以免費恢復文件嗎？

一般來說，如果沒有正確的解密金鑰，被 Chaos 系列威脅加密的檔案是無法復原的。如果您在感染之前擁有乾淨的離線備份，那麼恢復它們是最安全的建議方法。我們不鼓勵付費，因為犯罪者通常不會提供可用的解密器，付費反而會助長犯罪活動。

常見感染媒介

• 盜版軟體、註冊機和偽裝成惡意軟體的「破解」實用程式。
• 惡意電子郵件附件和連結（Office 巨集、腳本、EXE）。
• 受感染的廣告、受損或非官方的下載網站、P2P/torrent 網路、USB 隨身碟和第三方下載器。

如果懷疑感染，請立即採取行動

立即隔離機器：斷開網路（有線/wifi）並卸載任何共用/網路磁碟機以阻止橫向傳播。

儲存證據：如果您正在收集記憶體或法醫文物，請不要進行電源循環，而是在有能力的情況下捕獲記憶體和磁碟映像，或撥打事件回應。

使用備份：一旦惡意軟體被刪除並且系統重建，就從可信任備份中恢復；不要恢復感染時可能已連接的備份。

除非事件回應團隊評估了所有選項和後果，否則不要付款；付款並不能保證有效，並且可能會鼓勵未來的攻擊。

最佳安全實踐

保持最新的分層防禦，包括日常營運中的以下做法：

修補程式管理：及時應用作業系統和應用程式安全性更新；許多勒索軟體利用已知和已修補的漏洞。

最小特權和帳戶衛生：使用非管理員帳戶運行用戶，對遠端存取和特權帳戶實施強大的多因素身份驗證，並監控異常登入行為。

備份策略：定期建立備份，並將其與網路隔離。畢竟，備份是抵禦加密攻擊最有效的復原控制措施。

端點保護與 EDR ：部署信譽良好的端點偵測和回應解決方案，以偵測執行異常、阻止惡意負載並實現快速遏制。保持簽章和遙測功能處於啟用狀態。

使用者教育和防範網路釣魚：訓練使用者避免使用破解程式/註冊機，驗證電子郵件寄件者和鏈接，並對意外附件保持警惕。模擬網路釣魚和意識宣傳活動可以降低人為風險。

應用程式控制和巨集限制：預設停用 Office 巨集，阻止從常見濫用位置（例如，%AppData%、臨時資料夾）執行，並在可行的情況下使用應用程式允許清單。

結束語

Solara 列舉了與公開勒索軟體建構器相關的常見風險：分支和變種激增，攻擊者不斷調整傳播方法以針對特定社群（報告強調遊戲論壇和盜版軟體管道可能是誘餌）。最佳防禦措施是預防、強大的備份、快速遏制，以及與訓練有素的回應團隊合作，而不是支付贖金。如果您懷疑入侵行為並需要逐步清理協助，請收集範例指標（檔案名稱、雜湊值、贖金提示文字），並諮詢值得信賴的事件回應提供者或您的安全供應商，以取得遏制和復原指導。