目前勒索病毒仍然是全球最大的威胁，最近一年针对企业的勒索病毒攻击越来越多，不断有新型的勒索病毒出现，各企业一定要保持高度的重视，大部分勒索病毒是无法解密的，近期国外安全研究人员发现了一款基于PowerShell脚本的勒索病毒FTCode，此勒索病毒主要通过垃圾邮件进行传播

从恶意服务器下载PowerShell脚本执行，服务器URL地址：

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本，如下所示：

恶意服务器URL

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&，脚本内容，如下所示：

需要支付500美元进行解密，勒索病毒解密网站

http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=[guid]

IOC

HASH

A5AF9F4B875BE92A79085BB03C46FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URL

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了，各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......

知识星球天天威胁情报内容播放

Robbinhood勒索病毒、Ryuk勒索病毒、NetWire RAT远控

Remcos RAT远控、TrickBot银行木马、NEMTY勒索病毒V1.6

Emotet银行木马、Sapphire勒索病毒、Loki窃密木马

Proyecto RAT远控

最后欢迎大家关注此公众号

本微信公众号专注于各种恶意软件分析与研究、追踪剖析恶意软件背后的黑产运作商业模式，这里不扯一些“假大空”的安全概念和框架，只有实实在在最基础的安全研究、最新的威胁情报、以及笔者的一些安全观点与看法

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)