MalwareHunterTeam本周发现了两个新的Matrix Ransomware变体，这些变体 正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密，但其中一种更加先进，可提供更多调试消息并使用密码来擦除可用空间。

根据勒索软件执行时显示的调试消息以及BleepingComputer论坛中的各种报告，这种勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限，他们将上传安装程序并执行它。

目前有两种不同的Matrix版本正在发布。这两种变体都安装在黑客RDP上，加密未映射的网络共享，加密时显示状态窗口，清除卷影副本以及加密文件名。不过，这两个变体之间有一些细微差别，第二个变体（[RestorFile@tutanota.com]）稍微高级一些。

这些差异如下所述。

这种由[Files4463@tuta.io]扩展名标识的变体是较不先进的变体。当这个变体正在运行时，它将同时打开以下两个窗口来显示感染的状态。一个窗口是关于加密的状态消息，另一个窗口是关于网络共享扫描的信息。

加密屏幕

网络扫描屏幕

当文件被加密时，它将加密文件名，然后附加[RestorFile@tutanota.com]扩展名到它。例如，test.jpg会被加密并重命名为0ytN5eEX-RKllfjug。[Files4463@tuta.io]。

加密文件的文件夹

该变体还会在每个扫描的文件夹中放置命名为！ReadMe_To_Decrypt_Files！.rtf的赎金备注 。该赎金说明包含用于联系攻击者并进行赎金支付的Files4463@tuta.io，Files4463@protonmail.ch和Files4463@gmail.com电子邮件地址。 

该变体还将桌面背景更改为以下图像。

不幸的是，Matrix Ransomware的这种变体无法免费解密。

第二个变体通过使用[RestorFile@tutanota.com]扩展名来标识。

虽然这个变体的操作方式与前一个类似，但它有点更先进，因为它具有更好的调试消息，并且在加密完成后利用cipher命令覆盖计算机上的所有可用空间。此外，该变体使用不同的联系人电子邮件地址，不同的扩展名和不同的赎金票据名称。

当这个变体正在运行时，它将利用下列窗口显示感染的状态。请注意，与前一个版本相比，此版本中显示的日志记录更多。

当文件被加密时，它将加密文件名，然后附加[RestorFile@tutanota.com]扩展名到它。例如，test.jpg会被加密并重新命名为0ytN5eEX-RKllfjug [RestorFile@tutanota.com]。

这个变种也会放弃名为＃Decrypt_Files_ReadMe＃的赎金笔记 。rtf 在扫描的每个文件夹中。该赎金说明包含用于联系攻击者并进行赎金支付的RestorFile@tutanota.com，RestoreFile@protonmail.com和RestoreFile@qq.com电子邮件地址。 

它还会将桌面背景更改为以下图像。

桌面背景

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)