深信服EDR安适团队跟踪了Scarab勒索病毒的最新变种，该变种文件加密后缀为.hitler，有趣的是，希特勒对应的英文就是hitler，算是莫名躺枪了。

凡是，Scarab勒索病毒是操作Necurs僵尸网络进行流传的，Necurs是世界上最大的僵尸网络之一，曾用于流传多个恶意家族样本。比来一段时间，发明Scarab勒索病毒还会通过RDP爆破+人工、绑缚软件的方法进行流传。

下图，是此变种的勒索信息。

二、成果流程

此Scarab变种，其成果流程大抵如下，依次分袂为伪装录屏、屏幕快照、内存解密、设置启动、自删除、删除卷影、杀进程、遍历加密、勒索弹窗。

伪装录屏，是为了骗过安适软件，让其误以为是一个正常的录屏软件。别的，还截图了屏幕快照。与大都病毒一样，此勒索变种同样会设置启动，做长期化操纵，也会做自删除的行动。为了保证数据不成恢复，同时也做了删除卷影的操纵。

别的，此勒索病毒会杀失大都的系统进程、应用进程、杀失进程，最后遍历文件夹，做加密。所有的文件加告密成后，弹出勒索信息。

三、详细分析

1.查壳，母体样本使用的是UPX加壳，如下所示：

2.样本使用了详细的文件描述信息，如下所示：

3.脱壳分析，动态调试，如下所示：

4.录制音频，如下所示：

相应的反汇编代码，如下所示：

5.创建窗口，如下所示：

6.获取操纵系统语言版本，如下所示：

7.设置HOOK，如下所示：

8.抓屏操纵，如下所示：

9.启动子进程，如下所示：

10.进行长期化操纵，拷贝自身到%appdata%目录下，如下所示：

拷贝之后，如下所示：

然后启动%appdata%目录下的sevnz.exe措施，如下所示：

11.解密内存相应的字符串，如下所示：

通过执行mshta.exe，删除自身，如下所示：