近日，安全研究組織MalwareHunter發現了Mindlost勒索軟體的第一批樣本。

阿里雲安全團隊第一時間對該勒索軟體進行了技術分析。通過此分析報告，希望給業界研究者提供參考依據，併為可能受到影響的企業與機構，提供安全建議。

一、 概述

阿里雲安全團隊分析後發現，該病毒執行後會”隱藏”自己，然後後臺加密採用隨機祕鑰的128位的aes演算法，加密樣本賬戶的電腦的Users目錄下的檔案，如果字尾為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的檔案就直接加密，且解密贖金達到200美元。其加密完成後顯示的提示圖片如下：

被加密的企業和個人，需要通過線上網站使用信用卡的方式支付贖金。

根據目前披露的資訊，該勒索軟體並未大量主動分發，嚴重性不及WannaCry 和 Petya。阿里雲安全團隊推測，這是一個正在開發中的勒索軟體。

但從樣本的變化看，後續可能會有新的版本和變種出現；我們會持續關注，針對勒索軟體的防護和處理建議。

二、技術分析

1. Mindlost勒索病毒的執行流程如下：

2. 技術實現細節：

該Mindlost勒索病毒的是一個由C#語言編寫的程式，且該病毒作者還採用AgileDotNetRT.dll反編譯外掛，將所有程式碼全部混淆，增加了反編譯難度。具體功能實現細節如下：

a.將自己寫入登錄檔，實現自啟動：

b.檢測虛擬機器：

c.檢測該樣本賬戶機器是否已經被加密過，如果該樣本賬戶的uuid已經在他的伺服器資料庫中，且沒有支付贖金，則不再加密該樣本賬戶

d.建立aes的隨機祕鑰的程式碼如下：

e.獲取樣本賬戶C:\\Users目錄下的所有檔案，如果檔案字尾為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"則對該檔案進行加密，被加密檔案的字尾為.enc，如果檔案目錄是載"Windows","Program Files","Program Files (x86)"目錄下，則放棄對該目錄檔案的加密，最後如果C:\\Users目錄下沒加密的檔案則被刪除。

f. 加密完成後，會將加密的私鑰上傳到病毒作者的伺服器上，程式碼如下：

g.下載提示樣本賬戶付款的圖片，且將該圖片改成該樣本賬戶電腦的桌面背景，程式碼如下：

三、 C&C地址分析

在分析程式碼的過程中，我們發現了該病毒連線資料庫伺服器和樣本賬戶名和密碼：

Data Source = victimssqlserver.database.windows.net;

user id=daniel;

password=Lifsgledi979

交贖金網站：http://Mindlost.azurewebsites.net，目前已經失效

四、 補充資訊和防護建議

目前，阿里雲安全團隊總共獲取到Mindlost的6個樣本檔案，通過時間戳分析，最早編譯時間在2018.01.15, 此時的樣本並未做程式碼混淆。

在2018.01.25編譯的版本中，已經對程式碼做了混淆。但所有樣本都包含除錯資訊，其中較為敏感的是pdb檔案路徑” 

/Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb”，Mindlost的名字也是來自於此，路徑中還包含了樣本賬戶名danielohayon，由此猜測該勒索病毒還在開發中，就被已各安全人員發現。

當然，也不排除作者故意留下關鍵路徑迷惑大家。

像這樣的勒索軟體樣本，阿里雲安全團隊每天都會處理很多，大多都能通過及時的預警，病毒庫與防禦規則更新，將其在雲上的影響降至最低。截至2月3日，阿里雲平臺客戶不受MindLost勒索軟體影響。

補充閱讀：

阿里雲安全團隊建議：http://click.aliyun.com/m/41777/

加密勒索病毒處理方案 

http://click.aliyun.com/m/41778/

加密勒索事件防護方案 

http://click.aliyun.com/m/41779/