该勒索病毒变种采用“RSA+AES”加密算法对文件进行加密，加密文件名为：

++++

加密后的文件如下图所示。

图3-1 加密文件

3.3 勒索软件勒索信

该勒索病毒变种在加密后会生成两种勒索信，一种后缀为.txt，一种后缀为.hta。此次新变种的勒索信内容与以往的勒索病毒有所不同，该勒索病毒家族的其他勒索信会告知受害者如何购买比特币支付赎金，而该变种的勒索信并未体现这一点，仅表示受害者的文件已被加密，并提供联系邮箱等信息。

图3-2 txt格式勒索病毒内容对比

图3-3 hta格式勒索信内容对比

3.4 新型勒索病毒变种行为分析

禁用系统防火墙

勒索软件使用命令来关闭防火墙。

图3- 4 关闭并禁用防火墙

使用以下命令禁用并关闭防火墙（两个命令功能相同，但适用于不同的操作系统）：

出发

设置模式=

添加注册表实现开机自动启动

将自身复制到系统“启动”文件夹下，实现自启动功能。路径如下：

C:\\\\ 菜单\\

C:\\\\\\\ 菜单\\

图 3-5 将自身复制到%%文件夹

图 3- 6 复制自身到%%文件夹

添加注册表启动项，达到开机启动的目的：

\\\\\跑步

\\\\\跑步

将系列变体版本信息附加到加密文件中

勒索病毒变种加密文件内容后，在文件末尾附加两部分数据，一部分为文件扩展名对应的加密数据，另一部分为勒索病毒家族的变种标识，使用不同的数据来区分不同版本的勒索病毒变种，两部分数据均通过“0”字节填充与加密内容分隔。

图 3-7 将数据附加到文件末尾

4. 保护建议及IEP保护视频演示链接

提醒用户及时备份重要文件，文件备份应与主机隔离；及时安装更新补丁，防范勒索病毒利用漏洞感染电脑；警惕来源不明的邮件，避免打开附件或点击邮件内链接；尽量避免打开社交媒体分享的来源不明的链接，将可信赖的网站收藏起来并通过书签访问；避免使用弱密码或统一密码；使用远程桌面服务时确保所有电脑都使用VPN等安全方式连接，若非业务需要使用远程桌面服务，建议关闭；可使用杀毒软件（如智加）扫描邮件附件，确认安全后再运行。

目前，安天智嘉终端防御系统已能够有效检测并防护该勒索病毒家族变种。

图 4-1 智能装甲拦截防护界面

勒索病毒变种-无IEP保护视频演示链接：

勒索病毒变种-IEP防护视频演示链接：