概述

最近,国外MalwareHunterTeam再次发现Cryptomix勒索病毒最新变种,千里目安全实验室EDR安全团队第一时间拿到相关的样本,发现这次Cryptomix勒索病毒最新的变种采用RSA1024加密算法,将系统中的大部分文档文件加密为.MOLE66后缀的文件,然后对用户进行勒索。

Cryptomix勒索病毒家族在过年的一两年时间里,不变有新的变种出现,加密后的文件后缀名包括“XZZX””X1881””SHARK””SYSTEM”等多达数十种不同的变种,是一款非常活跃流行的勒索病毒家族,最新的变种,勒索邮件地址也发生了改变,同时此次发现的勒索病毒最新变种会加密用户电脑共享目录文件夹下的文件。

当用户点击此病毒后,病毒开始加密系统里的大部分文档文件,然后在相应的目录生成勒索信息的TXT文件,如图所示:

病毒分析

样本主体分析

(1)拷贝自身到C:\ProgramData\BCC6F26321.exe,并进行相应的持久化操作,添加到自启动注册表项,如下图所示:


相关的反汇编代码如下:

(2)创建互斥变量,防止病毒重复运行感染,如下图所示:

(3)停止VVS服务,如下图所示:

(4)删除相应的卷影等操作,如下图所示:

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖