最近有传闻全新的勒索病毒已经出现了,Matrix勒索病毒PRCP变种侵入政企单位了,因此小编特意为您准备了SfabAntiBot杀毒工具,点击即可下载,这种病毒能够将系统中的大部分文档文件加密为PRCP后缀名的文件,然后对用户进行勒索,下面我们来说说详细信息!
该勒索病毒变种主要通过RDP爆破进行传播,会扫描局域网内主机,会加密局域网共享目录文件夹下的文件
此次勒索事件,深信服安全专家捕获到了完整病毒样本,并制定了相应的防护措施。
样本分析
Matrix勒索病毒PRCP变种整体比较复杂
该病毒变种使用Delphi语言进行编写,相关数据加密会存储到程序资源目录中。为了保证运行唯一,病毒运行后,会先尝试打开互斥变量MutexPRCP,如果打开失败,则创建互斥变量。
获取信息,上传C2服务器
该病毒变种会获取当前操作系统的语言版本、主机名和用户名等信息,在内存中拼接相应的字符串:
在内存中解密出远程服务器地址
发送相应的主机信息,到远程服务器地址prcp.mygoodsday.org ,进行记录
扫描磁盘信息,并打印到输出窗口,然后将磁盘信息,再一次上传到远程服务器。
生成key,删除系统备份
Matrix勒索病毒PRCP变种会通过内置的RSA密钥生成相应的key
接着,会生成BAT文件,删除磁盘卷影等操作,使用户无法通过系统备份恢复数据
生成上面BAT脚本调用的VBS脚本
扫描探测内网,加密网络共享
为了对内网最大程度造成破坏,该变种会生成随机命名的备份文件,然后通过参数启动,对内网进行探测
内网共享目录文件扫描过程
生成的随机的BAT文件
调用释放的NTHandler程序,对当前主机进行扫描
加密本地文件,生成勒索信息
最后,该变种病毒会遍历本地磁盘文件,加密磁盘文件,加密后的文件后缀为.PRCP。
磁盘文件加密完成后,会在本地生成相应的勒索信息文件#README_PRCP#.rtf
