近日,安全实验室截获了Matrix勒索病毒itlock变种样本。该病毒通过RDP爆破,在成功后,还将进行内网共享文件夹扫描,对内网主机进行感染。Matrix勒索病毒变种采用RSA + Salsa20加密算法分别对密钥和文件进行加密。此外,病毒还将搜集计算机信息上传至C2服务器。据悉,已有大量主机受到感染,其中不乏政企单位。
勒索邮箱:
rescompany19@qq.com
rescompany19@yahoo.com
rescompany19@cock.li
C2域名:testercmd.in
影响平台:Windows操作系统
加密后文件格式:勒索邮箱 + 随机序列号 + .ITLOCK后缀,例:[rescompany19@qq.com].63Nv1K7q-xCeWZJaH.ITLOCK
勒索信息:
受影响文件类型:
‘MDF’,‘NDF’,‘LDF’,‘MYD’,‘EQL’,‘SQL’,‘VHD’,‘SQLITE’,‘SQLITE3’,‘SQLITEDB’,‘HWP’,‘HWT’,‘HML’,‘HWDT’,‘HWPX’,‘CELL’,‘NXL’,‘HCDT’,‘NXT’,‘SHOW’,‘HPT’, ‘HSDT’,‘XLSX’,‘XLS’,‘DOCX’,‘DOC’,‘DOT’,‘DOTX’,‘ODT’,‘ODS’,‘BAK’,‘TIB’,‘DBS’,‘DB’,‘DBK’,‘DB2’,‘DB3’,‘DBC’,‘DT’,‘DBS’,‘DBF’,‘DBX’,‘MDB’,‘SDF’,‘NDF’,‘NS2’, ‘NS3’,‘NS4’,‘NSF’,‘ACCDB’,‘VPD’,‘DWG’,‘CDR’,‘PDF’,‘JPG’,‘JPEG’,‘PSD’,‘ZIP’,‘RAR’,‘7Z’,‘TAR’
不会影响的文件类型:
exe、cmd、vbs、lnk、bat、rtf、bmp、tmp
该Matrix勒索病毒家族主要由RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播。为防御病毒,用户除了养成良好的行为习惯,不要点击不明邮件附件,不从不明网站下载软件外还需要引入相应的服务器防护软件。
ITLOCK后缀勒索病毒是今年新出现的病毒,这种病毒索要赎金一般每台机器在3000欧元,由此可以推断此种病毒应该是欧洲犯罪分子所为,这种病毒制造者及其猖狂且让人痛恨,一般的勒索病毒加密文件只存在一个病毒体,除非有共享文件。但是这种病毒会随机出现两个甚至是多个病毒体,这样就会造成,不同的文件会被不通的病原体加密。
原文地址:https://blog.51cto.com/14119124/2368473