勒索攻击已经成为了全球最大的网络威胁，越来越多的黑客组织开始加入到勒索病毒攻击活动，目前勒索病毒黑客组织大致可以分为两类，一类攻击目标主要以TO C(个人)为主，一类攻击目标主要以TO B(企业)为主，前者的勒索金额主要为几百美元到几万美元不等，后面的勒索金额主要为几十万美元到几千万美元为主，前者的攻击手法以捆绑伪装其它程序为主，后者的攻击手法以APT定向攻击手法为主，笔者在之前的文章都已经详细讲解过这些攻击手法，可以预见，未来几年勒索病毒攻击仍然是全球最大的网络威胁，同时未来几年不管是针对TO C，还是针对TO B的攻击都会越来越流行，个人和企业都要提高安全意识，目前大部分主流勒索病毒都是无法解密的，以防为主。

笔者在某油管视频下载网站上下载一个网络安全学习视频的时候，突然弹出一个网页，给我下载了一个Windows更新程序，如下所示：

URL为：hxxps://hortel.info/clickid=17287，下载显示为Windows10-11系统更新程序，本来打算安装更新程序，正好联想到前段时间Magniber勒索病毒通过Windows更新程序传播感染受害者，并带有有效数字签名，对该MSI更新安装程序进行了分析，发现果然是Magniber勒索病毒程序，还好长了一个心眼，没有直接点击安装，不然就中招了，现在勒索病毒真的是无处不在、无孔不入啊，全球基本上每天都有企业或个人中招，一定要提高安全意识。

既然这个勒索病毒的最新变种被我遇到了，那正好分析一下，看看这个勒索病毒黑客组织最近在玩些什么套路，很可能还会有其他人会遇到，同时给大家提个醒，不管是软件安装程序，系统更新程序，漏洞补丁程序，或者其他人发给你的程序或文档，都不要随意安装或打开，安全意识真的很重要，一定要到正规的官方指定的网站下载安装。

1.下载的安装程序，时间为2022年5月3日3:55分更新的，如下所示：

2.解析MSI安装程序的相关信息，如下所示：

3.解包MSI安装程序，如下所示：

4.安装程序的InstallExecuteSequence.idt文件，发现一个可疑的安装u13n05fpc4，如下所示：

5.u13n05fpc4是安装的什么呢？查看自定义安装CustomAction.idt文件，如下所示：

6.安装加载hj8i35ab程序，通过解包MSI安装程序，得到hj8i35ab程序，如下所示：

7.hj8i35ab是一个恶意DLL程序，其导出函数为e65nrd8nai，如下所示：

8.动态调试该DLL，如下所示：

9.在内存中解密出整个shellcode代码，如下所示：

10.执行上面的shellcode代码，将其中的一段shellcode代码注入到svchost进程，注入的shellcode代码，如下所示：

11.在C:\Users\Public目录下生成XML恶意脚本文件，如下所示：

脚本内容，如下所示：

12.再生成第二个脚本文件，如下所示：

脚本内容，如下所示：

然后调用regsvr32.exe程序，执行恶意脚本，如下所示：

shellcode恶意代码会启动fodhelper.exe和compmgmtlauncher.exe，然后注入启动一段shellcode恶意代码，如下所示：

13.生成加密后的文件后缀名amcqeuig，如下所示：

排除一些不加密的文件目录，如下所示：

加密文件过程，如下所示：

14.加密后的文件，如下所示：

15.弹出的勒索提示信息，如下所示：

16.点击进入之后，如下所示：

17.生成的勒索提示信息文件内容，如下所示：

18.使用TOR浏览器打开该勒索病毒暗网URL之后，如下所示：

聊天信息窗口，如下所示：

好了，该勒索病毒黑客组织的最新变种基本就分析完了，通过分析发现该勒索病毒应该是一个技术相对成熟的黑客组织开发并维护的，该勒索病毒从最开始被发现到现在已经有好几个版本的变种样本，而且所有的函数都是使用系统调用的方式执行，有兴趣的朋友可以详细分析研究一下该勒索病毒的几个变种版本。