【蜜罐捕获】拉脱维亚黑客使用的PRCP勒索病毒X1

admin

今天下午蜜罐诱捕到一个国外黑客使用的勒索病毒
其入侵方式为3389弱口令爆破
系统感染后自动使用AES-128和RSA-2048算法加密 同时修改文件后缀名为.PRCP
同时捕捉到黑客的远程桌面登录IP为：188.92.73.25
目前未发现此病毒有内网传播现象 同一局域网下的其他服务器正常运行
同时把几个加密后的样本和留下的字条文件发上来 以供参考
========================================
2019年1月30日19:11:07补充：
警告！
蜜罐系统恢复后此黑客再次登录并且二次感染勒索病毒
此次发现黑客使用的勒索病毒本体
同时发现此勒索病毒会探测并且尝试入侵内网中使用139端口和445端口的服务器
也就意味着此病毒会感染内网其他服务器
========================================
感染后的文件样本和字条文件 -> 点我下载
勒索病毒本体样本（个人建议不要在实体机打开，请先断开虚拟机的网络后用虚拟机打开） -> 点我下载