【勒索防护】Mallox勒索团伙强势来袭，已猎捕最新在野攻击事件

避免静态分析

为了突破安全软件的静态检测，样本使用了控制流混淆机制对样本进行处理。该混淆通过在指令片段间插入了很多无意义的跳转代码块，这些代码块之间的跳转是通过JMP指令，跳转到事先计算好的地址处。动态调试时，可以通过编写调试器提供的运行时脚本跳过这些混淆代码段。

加密前准备

1. 为防止文件被多次加密，病毒会创建名为89A72EF01的事件对象用于同步。

2. 加载PowrProf.dll模块，通过调用PowerSetActiveScheme函数将电源方案设置为高性能模式。高性能GUID为8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c。

3. 通过OpenProcessToken，AdjustTokenPrivileges系列函数开启进程的SeTakeOwnershipPrivilege，SeDebugPrivilege权限。

4. 创建窗口，通过ShutdownBlockReasonCreate函数设置提醒用户要关闭时的提示语句为 Do NOT shutdown OR reboot your PC: this might damag e your files permanently !试图阻止用户关闭电脑。

5. 打开注册表项，通过设置SOFTWAREMicrosoftPolicyManagerdefaultStartHideShutDown，SOFTWAREMicrosoftPolicyManagerdefaultStartHideRestart，SOFTWAREMicrosoftPolicyManagerdefaultStartHideSignOut删除开始菜单中的关机，重启，注销选项。

6. 打开注册表项，通过设置SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem表项关闭UAC验证。

7. 调用CMD，通过下列命令关闭恢复模式bcdedit /set {current} bootstatuspolicy ignoreallfailures，bcdedit /set {current} recoveryenabled no。

8. 通过vssadmin删除卷影C:Windowssysnativevssadmin.exe delete shadows /all /quiet。

9. 关闭可能会影响加密行为的服务

加密操作

随后开启加密模块。通过GetLogicalDrives获取系统中的所有磁盘信息，再通过FindFirstFile枚举各磁盘中的每个文件，加密使用的是微软Crypt系列函数。

不会加密下面目录中的文件：

不会加密文件名如下的文件：

不会加密包含下面后缀的文件：

URL

http://91.215.85.142/QWEwqdsvsf/ap.php

HASH

1C459E171A2FB806F4D284B954D221D9

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

4. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

5. 重要的数据最好双机备份或云备份。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护；但建议更新最新版本，取得更好防护效果。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。