1.背景近期，Solar团队应某医疗公司的请求提供援助，该公司的计算机服务器受到了_locked勒索病毒的侵害，所有的文件被加密并且添加了_locked后缀，并且释放了中文勒索信，留下了支付宝收款码作为勒索赎金支付通道，通过我们的应急响应团队进行深入的溯源调查，应客户的要求，本文暂未提供对入侵溯源的分析报告内容，仅提供该勒索病毒加密器的逆向分析报告。2.溯源分析2.1 恶意行为  执行后会释放以下三个文件：libadvpack.dll重要資訊.txt收款碼<时间>.jpg访问外部链接：api.ipify.org #用于获取互联网IPsmtp-mail.outlook.com #用于smtp发件104.26.13.205 #CDN52.98.54.134 #CDN2.2 溯源流程对收款码进行溯源，账号属于一位年长女性，判断应该为通过渠道购买的黑号。Tips：使用支付宝付款的时候，选择四大行以外的银行卡进行转账，然后再通过该银行的APP进行转账明细查询，大部分可以看到对方的真实名字。逆向加密器，会发现加密信息通过SMTP协议发送邮件至黑客匿名邮箱，由于SMTP协议是发件协议，因此即使能够登陆也无法查看已发邮件。修改发件、收件地址后会收到以下邮件，包含计算机的基本信息、机密文件数量以及密码，由于此outlook邮箱的辅助邮箱为匿名注册邮箱，故无法通过该线索继续溯源。3.恶意文件基础信息3.1 加密器基本信息大小404480(395.00 KiB)操作系统Windows(2000)架构I386模式32 位类型GUI字节序LEMD51edc74dee16a67e94512c59d899b63bdSHA2560566ce83e0ab2b58f5247845d5ae075e5f046d7eb49bb019c9a4aead8337a5cf3.2 勒索信注意！ 你的檔案，圖片，資料庫和其他重要文件都被加密了。請不要擔心，你可以恢復你所有的檔案。 恢復檔案的唯一方法是購買解密工具和你的獨特金鑰。該解密工具將解密您所有加密的檔案。 想要購買這個解密工具，你只需要支付2000人民幣，請留意你的案頭上的收款碼。 為了確保我們有解密器並且它可以工作，您可以發送電子郵件：[email protected] 並免費解密一個檔案。但是這個檔應該沒有價值！ 警告，請你不要嘗試自己修改檔案，不要嘗試使用任何協力廠商軟件恢復你數據。 請注意!!!解密工具在24小時內的時間內可用。你的個人id是： ================================================================================= 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3.3 勒索图片4.恶意文件分析4.1 威胁分析病毒家族Locked（疑似国内）首次出现时间/捕获分析时间2024/01/18