深信服深盾终端实验室在近期的运营工作中捕获了 MoneyMessage 勒索病毒，通过关联分析发现该样本最早出现于2023年3 月。截至发文，从全球范围来看，已有多个受害者公开披露其遭受了MoneyMessage勒索病毒的攻击，其中不乏大型公司。

援引 Bleeping Computer 2023年4月7日的消息，MSI 已确认其遭受勒索软件攻击：

选取SHA256为dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac的样本进行分析，其基本信息如下所示。

勒索软件开始执行后，其会从文件的末尾读取攻击者留存的配置文件，配置文件具体如下所示：

读取配置文件命令行如下图所示：

提取出的参数如下所示：

info_text_message

mutex_name

extensions

skip_directories

network_public_key

network_private_key

processes_to_kill

services_to_stop

logging

domain_login

domain_password

crypt_only_these_directories

temporary_extension

从配置文件读取出的信息将用于后续的加密过程。

1. 创建 Mutex 避免重复运行。

2. 通过以下 API 组合枚举当用户系统中的所有服务及其状态：OpenSCManagerW、EnumServicesStatusExW、CloseServiceHandle。

若服务名称符合以下名称集合中的任意一个元素，则关闭该服务。

3. 通过 API 组合关闭配置文件中提到的进程。

4. 删除 VSS 备份文件。

5. 横向移动。使用存储在配置文件中的账号和密码，尝试连接当前计算机所在网络的其它机器，连接成功则再次进行加密操作。

配置文件中的字符串解密后对应的账户名和密码如下所示，在此处攻击者并未使用密码字典进行 RDP 爆破来传播勒索病毒，而是使用有限数量且特殊的用户名和密码，具有较强的指向性。

此勒索样本和传统的勒索病毒不同的点在于，此勒索样本并不会修改加密文件的后缀。加密后的文件如下图所示：

加密操作完成后，攻击者留存的勒索信如下图所示：

在此勒索样本的分析过程中，并未发现其有明显的外连行为。根据 hackread 于 2023年4月8日的一篇文章，MSI 对外声称遭受到 MoneyMessage 勒索病毒的攻击，MoneyMessage 要求 MSI 支付 4 百万美元，否则将窃取的 MSI 信息公之于众。MSI 于2023年4月7日发表了一篇声明，其修复了位于固件平台上的一个漏洞。MoneyMessage 很可能利用了该固件漏洞获取了MSI内部计算机的控制权，并部署相应的勒索软件。

国外某社交软件平台上一位用户声称，MoneyMessage 团伙使用 RClone 将窃取的信息传输至云存储服务中。

该组织窃取的信息在如下网站公布：

MSI  泄露的信息如下所示：

Sha256：

dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac

4f8bd37851b772ee91ba54b8fd48304a6520d49ea4a81d751570ea67ef0a9904

97abcf01deea74eb3771ddcef8bfc0906b46a55172588de8e2ad20f8d92b2de7

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

预防勒索攻击措施：

Ø 避免打开可疑或来历不明的邮件中的链接和附件。

Ø 进行定期备份，并将这些备份保存在离线状态或单独的网络中。

Ø 安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后：

Ø 对受感染设备进行断网。

Ø 断开外部存储设备（如果已连接）。

Ø 检查系统日志中是否存在可疑事件。