近日，安全实验室截获了Matrix勒索病毒itlock变种样本。该病毒通过RDP爆破，在成功后，还将进行内网共享文件夹扫描，对内网主机进行感染。Matrix勒索病毒变种采用RSA + Salsa20加密算法分别对密钥和文件进行加密。此外，病毒还将搜集计算机信息上传至C2服务器。据悉，已有大量主机受到感染，其中不乏政企单位。

勒索邮箱：

rescompany19@qq.com

rescompany19@yahoo.com

rescompany19@cock.li

C2域名：testercmd.in影响平台：Windows操作系统加密后文件格式：勒索邮箱 + 随机序列号 + .ITLOCK后缀，例：[rescompany19@qq.com].63Nv1K7q-xCeWZJaH.ITLOCK勒索信息：受影响文件类型：‘MDF’,‘NDF’,‘LDF’,‘MYD’,‘EQL’,‘SQL’,‘VHD’,‘SQLITE’,‘SQLITE3’,‘SQLITEDB’,‘HWP’,‘HWT’,‘HML’,‘HWDT’,‘HWPX’,‘CELL’,‘NXL’,‘HCDT’,‘NXT’,‘SHOW’,‘HPT’, ‘HSDT’,‘XLSX’,‘XLS’,‘DOCX’,‘DOC’,‘DOT’,‘DOTX’,‘ODT’,‘ODS’,‘BAK’,‘TIB’,‘DBS’,‘DB’,‘DBK’,‘DB2’,‘DB3’,‘DBC’,‘DT’,‘DBS’,‘DBF’,‘DBX’,‘MDB’,‘SDF’,‘NDF’,‘NS2’, ‘NS3’,‘NS4’,‘NSF’,‘ACCDB’,‘VPD’,‘DWG’,‘CDR’,‘PDF’,‘JPG’,‘JPEG’,‘PSD’,‘ZIP’,‘RAR’,‘7Z’,‘TAR’不会影响的文件类型：exe、cmd、vbs、lnk、bat、rtf、bmp、tmp

该Matrix勒索病毒家族主要由RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播。为防御病毒，用户除了养成良好的行为习惯，不要点击不明邮件附件，不从不明网站下载软件外还需要引入相应的服务器防护软件。

ITLOCK后缀勒索病毒是今年新出现的病毒，这种病毒索要赎金一般每台机器在3000欧元，由此可以推断此种病毒应该是欧洲犯罪分子所为，这种病毒制造者及其猖狂且让人痛恨，一般的勒索病毒加密文件只存在一个病毒体，除非有共享文件。但是这种病毒会随机出现两个甚至是多个病毒体，这样就会造成，不同的文件会被不通的病原体加密。