一 .概述

ALPHV组织以其高度组织化的犯罪网络和精密的攻击策略，频繁制造了多起网络攻击事件，致使诸多企业和个人遭受了严重的损失。

不久前，ALPHV组织曝光了一款新型勒索病毒，这种勒索病毒传播速度极快，具有很强的隐蔽性，能够迅速感染受害者的计算机系统，从而窃取和破坏企业敏感信息。

二 .江民AI引擎处理ALPHV组织新型勒索病毒案例

某科技公司专注于开发创新性的软件解决方案，是一家在行业领先的企业。然而，该公司不幸成为了ALPHV勒索组织的目标之一。江民AI引擎在ALPHV组织新型勒索病毒造成大规模破坏之前，再次展现了其卓越的能力：成功发现并阻止了ALPHV组织新型勒索病毒在其内网服务器上的执行，为用户的核心资产安全提供了坚实的保障。该企业信息化主管表示：江民AI引擎在发现新型未知病毒领域的能力“遥遥领先”，值得信赖。

三 .ALPHV组织新型勒索病毒样本分析

ALPHV组织新型勒索病毒是一款高度定制化的恶意软件，它是第一个用Rust语言编写的勒索软件。在运行时，它要求使用一个由32字节值构成的访问令牌（access-token 参数），其他参数可以根据需求进行指定。该勒索病毒软件内部携带了一个加密的配置，其中包含了一个要停止的服务/进程列表，白名单目录/文件/文件扩展名列表，以及受害者环境中被盗凭证的列表。

为了最大程度地破坏目标系统， ALPHV组织新型勒索病毒会删除所有的卷影副本，这是一种系统备份和恢复的功能。此外，该软件还通过使用CMSTPLUA COM接口来执行特权升级，从而获取更高的系统权限。这种策略可能允许恶意软件更好地操控受感染系统。

在加密过程中， ALPHV组织新型勒索病毒使用AES算法对文件进行加密。AES密钥本身会使用配置中包含的RSA公钥进行加密，从而增强了加密过程的安全性。

该病毒软件使用CMSTPLUA接口{3E5FC7F9-9A51-4367-9063-A120244FBEC7}提升权限。

该病毒软件调用IISReset.ee停止IIS（互联网信息服务）。

该病毒软件调用Wmic删除所有卷影副本，不过由于构造的命令不完整，执行不成功。

该病毒软件尝试清除所有事件日志，还是由于构造命令不正确所以执行不成功。

加密模块分析如下：

1. 过滤文件后缀进行加密

nls、diagpkg、msi、lnk、exe、cab、scr、bat、key、ocx、diagcab、diagcfg、drv、rtp、msp、prf、msc、ico、pdb、wpx、hlp、icns、rom、dll、msstyles、mod、ps1、ics、hta、bin、cmd、ani、386、lock、cur、idx、sys、themepack、deskthemepack、shs、ldf、theme、mpa、nomedia、spl、cpl、adv、icl、msu、com.

2. 加密算法

采用非堆成和对称相结合的加密方式，但其存在两种对称的加密方法AES和chacha20，使用RSA-2048来加密对称密钥。

3. 勒索信内容如下图：

四 .赤豹反病毒实验室给出的对抗防御措施

下面是我们给出的一些对抗防御措施：

1、安装江民反病毒产品并将病毒库升级为最新版本，并定期进行全盘扫描。

2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。

3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。

4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。

5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。