新型勒索病毒MZREVENGE来袭，竟会禁用任务管理器

网络安全

近日，亚信安全截获新型常驻内存勒索病毒MZREVENGE，该勒索病毒不仅加密磁盘中的文件，还会禁用任务管理器，其完成加密流程后不会自删除，加密后的文件扩展名为MZ173801，亚信安全将其命名为Ransom.Win32.MZREVENGE.B。

病毒详细分析

该病毒使用了简单的upx加壳，直接使用工具脱壳即可，通过分析，安全工程师发现该病毒程序是由Delphi编写，具体分析内容如下：

首先，此病毒运行后会发现任务管理器无法打开：

逆向后观察到，病毒会对相关注册表键值进行修改，禁用任务管理器：

当HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr值为1时，任务管理器会被禁用。

然后病毒尝试删除再行创建文件C:\\Windows\\System32\\drivers\\etc\\host，但是这里有个问题，正常系统中此文件为hosts，不排除病毒作者代码编辑出现错误：

创建完成后，会向此文件写入一条记录：

接下来，病毒开始检测磁盘的情况(以下逻辑中没有包括c盘，因为c盘直接进入了遍历加密逻辑)：

检测完成后，开始进入相关的文件遍历以及加密逻辑：

病毒会对遍历到的文件名进行过滤，只加密指定后缀的文件，加密列表如下:

txt、doc、docx、intex、pdf、zip、rar、onetoc、css、lnk、xlsx、ppt、pptx、odt、jpg、bmp、ods、png、csv、sql、mdb、sln、php、asp、aspx、odp、html、xml、psd、bk、bat、mp3、mp4、wav、mdf、ost、wma、avi、divx、mkv、mpeg、wmv、mov、ogg、mid、gif、jpeg、cs、vb、vbproj、py、asmx、json、mov、jpe、dib、h、cpp、ico、suo、c、vcxproj、mml、otp、VDPROJ、vcx

加密完成后，病毒会在每个盘的根目录下放置Read_ME_PLS.txt勒索信息，并且重新恢复任务管理器：

病毒运行完成后没有自删除操作，也没有修改计算机的桌面背景，唯一的提示点就是txt勒索信息文件，内容如下：

亚信安全教你如何防范

亚信安全产品解决方案