近日，一種全新的勒索病毒正在活躍，攻擊者針對(duì)制造行業(yè)、醫(yī)療行業(yè)等目標(biāo)，

通過社會(huì)工程、RDP遠(yuǎn)程爆破等方式手動(dòng)投放勒索病毒，且進(jìn)行加密后會(huì)人工刪除勒索病毒體和入侵日志。

該勒索病毒加密后會(huì)修改文件后綴為大寫的隨機(jī)[10-12]個(gè)英文字母，

并釋放勒索信息文件，運(yùn)行后會(huì)進(jìn)行自復(fù)制，但通常情況下復(fù)制體會(huì)被攻擊者手動(dòng)刪除。

該勒索病毒被命名為Attention勒索病毒。

勒索特征

1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT，如下所示：

2.加密后的文件后綴為大寫字母的隨機(jī)[10-12]個(gè)英文字母，前三個(gè)字母相同，如下所示：

樣本詳細(xì)分析

1.首先，在%temp%目錄下生成隨機(jī)的文件B3A9A362.ghost，將00寫入到文件中，如下所示：

2.然后拷貝自身到

C:\Users\panda\AppData\Roaming\Microsoft\Windows目錄下ctfmon.exe（偽裝成為系統(tǒng)文件ctfmon.exe），如下：

3.通過ShellExecute調(diào)用拷貝的ctfmon.exe程序，運(yùn)行勒索程序：

6.遍歷網(wǎng)絡(luò)共享目錄，遍歷磁盤及文件目錄：

7.加密文件，先讀取文件內(nèi)容，然后進(jìn)行加密操作：

加密后的文件后綴名為隨機(jī)的[10-12]個(gè)英文字母。

2.通過查殺工具進(jìn)行查殺，可下載如下工具，進(jìn)行檢測(cè)查殺。