最近有傳聞全新的勒索病毒已經出現了,Matrix勒索病毒PRCP變種侵入政企單位了,因此小編特意為您準備了SfabAntiBot殺毒工具,點擊即可下載,這種病毒能夠將係統中的大部分文檔文件加密為PRCP後綴名的文件,然後對用戶進行勒索,下麵我們來說說詳細信息!
該勒索病毒變種主要通過RDP爆破進行傳播,會掃描局域網內主機,會加密局域網共享目錄文件夾下的文件
此次勒索事件,深信服安全專家捕獲到了完整病毒樣本,並製定了相應的防護措施。
樣本分析
Matrix勒索病毒PRCP變種整體比較複雜
該病毒變種使用Delphi語言進行編寫,相關數據加密會存儲到程序資源目錄中。為了保證運行唯一,病毒運行後,會先嚐試打開互斥變量MutexPRCP,如果打開失敗,則創建互斥變量。
獲取信息,上傳C2服務器
該病毒變種會獲取當前操作係統的語言版本、主機名和用戶名等信息,在內存中拚接相應的字符串:
在內存中解密出遠程服務器地址
發送相應的主機信息,到遠程服務器地址prcp.mygoodsday.org ,進行記錄
掃描磁盤信息,並打印到輸出窗口,然後將磁盤信息,再一次上傳到遠程服務器。
生成key,刪除係統備份
Matrix勒索病毒PRCP變種會通過內置的RSA密鑰生成相應的key
接著,會生成BAT文件,刪除磁盤卷影等操作,使用戶無法通過係統備份恢複數據
生成上麵BAT腳本調用的VBS腳本
掃描探測內網,加密網絡共享
為了對內網最大程度造成破壞,該變種會生成隨機命名的備份文件,然後通過參數啟動,對內網進行探測
內網共享目錄文件掃描過程
生成的隨機的BAT文件
調用釋放的NTHandler程序,對當前主機進行掃描
加密本地文件,生成勒索信息
最後,該變種病毒會遍曆本地磁盤文件,加密磁盤文件,加密後的文件後綴為.PRCP。
磁盤文件加密完成後,會在本地生成相應的勒索信息文件#README_PRCP#.rtf
