勒索信息

加密后缀：.ENCRYPTED。

解密工具：该勒索病毒暂无解密工具。

其他特征：运行后弹框。

详细分析

1.获取主机相应的文件目录，如下所示：

相应的目录列表：

C:\Users\用户名\Desktop
C:\Users\用户名\Downloads
C:\Users\用户名\Documents

2.设定磁盘的名称列表，如下所示：

磁盘名列表：

B、D、E、F、G、H、I、J、K、L、M、N、O、P、C

3.循环遍历磁盘，如下所示：

4.枚举目录下的文件，如下所示：

5.判断相应的目录或文件名包含如下字符串则跳过，如下所示：

相应的字符串为：ENCRYPTED、READ_THIS、.sys等。

6.判断文件名后缀是否为如下后缀则跳过，如下所示：

相应的后缀列表：vhd、vhdx、vdi。

7.然后遍历之前获取的目录列表：

C:\Users\用户名\Desktop
C:\Users\用户名\Downloads
C:\Users\用户名\Documents

如下所示：

8.如果遍历的磁盘目录为C盘，则跳过C盘下的特定目录，如下所示：

跳过以下目录和文件，如下:

PerfLogs
Program Files
Program Files (x86)
ProgramData
Users
Windows
System Volume Information
$Recycle.Bin
. (当前目录)
.. (上一级目录)
bootmgr
BOOTNXT
Documents and Settings
hiberfil.sys
MSOCache
pagefile.sys
swapfile.sys

9.如果文件为以下后缀名，则加密文件，如下所示：

会加密的文件的后缀名列表，如下：

txt、jpg、png、xml、doc、docx、xls、xlsx、ppt、pptx、gif、bmp、sql、php、html、cs、cpp、docm、docb、rar、zip、xlm、xml、py、rb、mp3、mp4、xlsb、xla、xlam、xll、xlw、pdf、pps、pot、accdb、accde、accdt、accdr、cert、swf、mdb、rtf、gzip、tar、css。

10.创建线程，加密文件，如下所示：

11.加密后的文件后缀名为ENCRYPTED，如下所示：

 加密文件过程，如下所示：

12.在内存中解密出相应的勒索信息，如下所示：

生成相应的勒索超文本信息READ_THIS_TO_DECRYPT.html，如下所示：

13.加密完成之后，弹出相应的勒索信息，如下所示：

病毒防御

再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1.及时给电脑打补丁，修复漏洞；

2.对重要的数据文件定期进行非本地备份；

3.不要点击来源不明的邮件附件，不从不明网站下载软件；

4.尽量关闭不必要的文件共享权限；

5.更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃；

6.如果业务上无需使用RDP的，建议关闭RDP。

*本文作者：深信服千里目安全实验室，转载请注明来自FreeBuf.COM