安天智甲有效防护 Motocos 勒索软件

近日，安天 CERT 在梳理 络安全事件时发现了一个名为 Motocos 的勒索软件。该勒索软件最早被发现于 2021 年 5 月，主要通过垃圾邮件进行传播。经验证，安天智甲终端防御系统（简称 IEP）的勒索软件防护模块可有效阻止 Motocos 勒索软件的加密行为。

Motocos 勒索软件由 Delphi 语言编写，该勒索软件运行后分多步完成其既定任务。第一监控任务管理器进程，一旦该进程启动，立即结束；第二在加密前，持续枚举进程大概 10分钟；第三遍历文件并对特定后缀名的文档、压缩包、图片、音视频、非系统应用程序等文件进行加密，加密后的文件名为“原始文件名+.mo2”；第四在加密过程中在每个逻辑盘根目录和系统桌面文件夹上释放以“Ransomware_Readme.txt”、“Motocos_Readme.txt”和“Readme.txt”命名的勒索信，三封勒索信内容一致，内容有勒索信翻译指南、勒索说明、加密方式、RSA 公钥、Telegram 联系方式和勒索金额，其中勒索金额从勒索时开始每六小时增加 0.025个比特币；最后调用 vssadmin.exe、wmic.exe、bcdedit.exe 和 wbadmin.exe 命令删除系统卷影副本、禁用系统修复功能和删除系统备份目录，防止恢复被加密的文件，调用 powershell 命令删除有关应用、系统和安全的日志信息。

▲ Motocos 勒索软件勒索信息

Motocos 勒索软件采用“AES+RSA”加密算法组合的形式加密文件，目前被加密的文件暂时无法解密。