这不是愚人节！警惕 MZREVENGE勒索病毒曝最新变种

网络安全

近日，亚信安全截获MZREVENGE勒索病毒最新变种文件，该勒索病毒通过关闭安全软件的部分功能逃避安全软件检测，以便其顺利完成加密流程，加密后的文件扩展名为MZ173801。亚信安全将其命名为Ransom.Win32.GENASOM.AC。

攻击流程

病毒详细分析

病毒创建互斥体OneCopyMutex，防止病毒程序重复运行：

通过设置EnableLUA=0禁用用户账户控制（UAC）功能，阻止系统弹出用户账户控制提示：

禁用WindowsDefender的防间谍软件和篡改保护功能，以便顺利完成后续加密流程：

调用Powershell.exe并执行base64加密参数。解密后，代码是删除卷影副本：Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete()；}：

调用CMD.exe，利用WMIC删除卷影副本，并使用bcdedit关闭恢复模式：

随后，病毒作者试图删除Hosts文件并重新写入一个新的Hosts，但是其传入的字符串中缺少了字符s，所以并没有成功修改Hosts文件。

其试图写入Hosts文件内容“127.0.0.1 validation.sls.microsoft.com”

通过访问api.db-ip.com获取本机地理位置信息，判断是否进行加密流程：

循环遍历磁盘：

获取加密文件的后缀，为后续加密文件做准备：

遍历文件并通过秘钥加密文件：

获取系统语言，写入对应语言版本的勒索文本：

完成加密后，打开勒索提示信息文本：

亚信安全教你如何防范

不要点击来源不明的邮件以及附件；不要点击来源不明的邮件中包含的链接；采用高强度的密码，避免使用弱口令密码，并定期更换密码；打开系统自动更新，并检测更新进行安装；尽量关闭不必要的文件共享；请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15.773.60，云病毒码版本15.773.71，全球码版本15.775.00已经可以检测，请用户及时升级病毒码版本。

IOC

SHA-1：6ef0fbff6707b4cae005e8d8a3171a63f1a40d5d