样本名称：bozon.exe

样本MD5：A88E6136F8F73B43846E91E7869EABD3

被加密文件后缀：*.malox

样本捕获时间：2023年5月

此勒索病毒样本属于Mallox家族（也被称作TargetCompany、Fargo），会加密受害者主机的上的文件，只有向攻击者支付赎金才能解密文件，赎金以比特币的形式支付。使用俄语等特定语言的主机不会被加密，特定路径、特定文件名、特定扩展名的文件也不会被加密，体积小于10000字节的文件亦不会被加密。此样本利用文件共享机制进行横向渗透。

国内厂商360（https://bbs.360.cn/thread-16043918-1-1.html）和国外厂商安博士（https://asec.ahnlab.com/en/49366/）曾对此家族有过分析，但此样本表现出了新的特征，如样本在运行时支持指定多个命令行参数来控制其行为，可见此勒索病毒仍在不断更新迭代。下文将从环境检测、准备工作、加密、横向渗透4个方面对样本进行分析。

样本开始执行后，首先会判断当前计算机语言设置，若是俄语、哈萨克语、白俄罗斯语、乌克兰语、鞑靼语，则样本直接退出，不加密任何文件。

2.1 将电源模式设置为高性能。

2.2 提权，通过获取“SeTakeOwnershipPrivilege”和“SeDebugPrivilege”对自身进行提权，方便后续执行需要特殊权限的操作。

2.3 删除反勒索软件Raccine的注册表项，让其失效。调用vssadmin.exe删除卷影。

2.4 调用bcdedit禁用自动修复。

结束Oracle、SQL Server、 MySQL 的相关进程。

插曲：此勒索病毒的编写者在将被结束的进程名称预置在样本中时，出现拼写错误，ReportingServecesService.exe（上图黄色背景处），其正确名称应为ReportingServicesService.exe

2.5 删除数据库相关服务。

2.6 若用户此时关机，则提示“Do NOT shutdown OR reboot your PC: this might damage your files permanently !”（不要关机或重启，这会永久损毁你的文件）。

2.7 隐藏开始菜单中的“关机”、“重启”、“注销”按钮，隐藏登录屏幕的“关机”按钮（加密完成后会重新显示）。

2.8 设置远程桌面在active、disconnected、Idle状态下，会话从不过期。

3.1 加密前，样本会收集本机信息，并通过互联网向外发送。收集的信息包括本机互联网出口IP、计算机名、系统架构、磁盘空间信息等。

其中，获取本机互联网出口IP时，会访问http://api.ipify.org。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课