概述

最近，国外 MalwareHunterTeam 再次发现 Cryptomix 勒索病毒最新变种，千里目安全实验室 EDR 安全团队第一时间拿到相关的样本，发现这次 Cryptomix 勒索病毒最新的变种采用 RSA1024 加密算法，将系统中的大部分文档文件加密为 .MOLE66 后缀的文件，然后对用户进行勒索。

Cryptomix勒索病毒家族在过年的一两年时间里，不变有新的变种出现，加密后的文件后缀包括“XZZX””X1881””SHARK””SYSTEM”等多达数十种不同的变种，是一款非常活跃流行的勒索病毒家族。最新的变种、勒索邮件地址也发生了改变。同时，此次发现的勒索病毒最新变种会加密用户电脑共享目录文件夹下的文件。

当用户点击此病毒后，病毒开始加密系统里的大部分文档文件，然后在相应的目录生成勒索信息的TXT文件，如图所示：

病毒分析

样本主体分析

(1)拷贝自身到C:\ProgramData\BCC6F26321.exe，并进行相应的持久化操作，添加到自启动注册表项，如下图所示：

相关的反汇编代码如下：

(2)创建互斥变量，防止病毒重复运行感染，如下图所示：

(3)停止VVS服务，如下图所示：

(4)删除相应的卷影等操作，如下图所示：

(5)RSA1024公钥的保存与读取，如果用户电脑中存在公钥文件则进行读取加密公钥，再进行公钥对比，如下图所示：

相应的公钥：

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpEnzYAtPzcmKnw41bLkkkDDmZ1YB4weOpyx0lY8gVl0gvveTMKhmhYNzjc5uQfXH3fbGmbbdELle/u7YsdXkuNHRQThnFfs+q7SIw1nibfYa4c9KA4ftfr69dZTt4T/RzRzsISVNU1Q6me59k9bBqxgiyDRjJhl79BT65Ggn+uQIDAQAB

-----END PUBLIC KEY-----

(6)遍历磁盘文件进行加密操作，如下图所示：

(7)同时加密共享目录文件夹的文件，如下图所示：

(8)加密完成之后，在相应的目录下写入解密帮助文件:_HELPINSTRUCTIONS.TXT，如下图所示：

(9)在进行加密文件操作的时候，如果遇到下面这些文件，则不进行加密，保证用户电脑正常运行，如下图所示：

不加密的文件类型和目录，如下：

_HELPINSTRUCTIONS.TXT
Ntldr
NTLDR
.MOLE66后缀的文件（已加密的文件）
NTDETECT.COM
ntdetect.com
Desktop目录
DESKTOP目录

(10)通过GUID得到相应加密文件后的文件名，然后加上后缀.MOLE66，如下图所示：

(11)加密的过程使用微软提供的相关函数，进行RSA1024加密算法，如下图所示：

(12)相关的勒索信息帮助文档，如下图所示：

勒索的邮件再次发生了改变，邮箱地址为：alpha2018a@aol.com

传播方式

这个勒索病毒主要通过邮件、漏洞、垃圾网站的方式进行传播，其不具备横向感染的能力，不会能局域网的其他设备发起相应的攻击，但是病毒会加密共享目录文件夹下的文件。

加密算法

该勒索病毒最新变种采用RSA1024加密算法加密文件，目前暂没有相应的解密工具。

预防措施

千里目安全实验室提醒小伙伴们，日常防范措施：

1.不要点击来源不明的邮件以及附件，不从不明网站下载相关的软件

2.及时给电脑打补丁，修复漏洞

3.对重要的数据文件定期进行非本地备份

4.安装专业的终端/服务器安全防护软件

5.定期用专业的反病毒软件进行安全查杀

6.最新的Cryptomix勒索病毒变种会加密用户的共享目录文件下的文件，建议用户关闭共享目录文件

7.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等

*本文作者：千里目安全实验室，转载请注明来自 FreeBuf.COM