根据安恒APT云端监控的数据，从今年年初以来勒索病毒攻击呈现快速上升的趋势，且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主，隐蔽性极强，对常规依靠特征检测的安全产品是一个极大的挑战。

经过分析，通常该类型病毒的规律如下：

●该类型病毒的目标性强，主要以邮件为传播方式。

●勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，将加密公钥写入到注册表中，遍历本地所 有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密；加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

●该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

新型勒索病毒分析

近期，安恒APT云端监控到了一种新型勒索病毒，该类型病毒运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。
以下为APT沙箱分析到样本载体的关键行为：

●调用加密算法库

●通过脚本文件进行Http请求

●通过脚本文件下载文件

●读取远程服务器文件

●通过wscript执行文件

●收集计算机信息

●遍历文件

样本运行流程详解

根据APT沙箱报告捕获到样本的关键行为，包括进程行为、文件行为、网络行为等信息，可以发现其运行分析流程如下：

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成秘钥，进而实现对指定类型的文件进行加密，即无需联网下载秘钥即可实现对文件加密。

同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。

勒索病毒应对方案

根据勒索病毒的特点和感染流程，可以推断其变种迅速，通常具备较强的对抗能力，且感染成功后无法恢复，常规的依靠特征匹配的防护手段不再适用，给勒索病毒的防护带来了极大的挑战，从而导致大量的用户被勒索病毒感染造成损失。

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：

●通过脚本文件进行Http请求

●通过脚本文件下载文件

●读取远程服务器文件

●收集计算机信息

●遍历文件

●调用加密算法库

安恒APT产品通过内置沙箱虚拟执行环境，可以对网络中传输的样本模拟运行分析，捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息，识 别其中可疑的勒索病毒特点，快速对网络中传输的勒索病毒样本进行预警，及时通知被攻击方提高安全防范意识，防止出现被感染的情况。

同时，结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务，依托于云端的海量数据、高级的机器学习和大数据分析能力，可及时共享最新的安全威胁情报，提供更为精准的威胁分析能力，用户也可直接访问云端，上传、查询和确认样本的分析结果，感知最新的安全情报。