一，试品介绍 最近，国外的一个安全论坛公布了相近Globebmposter的新勒索软件。这个勒索软件类似Globelmposter。它被取名为X_Mister勒索软件，因为它在手机联系人电子邮箱中有x_mister。勒索软件使用RSA + DES。该优化算法对文件进行数据加密，并且没有水平感柒功能。通常，网络攻击在RDP工程爆破后手动式通知目标，或通过垃圾短信传播，并在数据加密完成后自主删掉。 令人信服的安全团队初次获得了相应的试品，并对试品进行了深入分析。   二，勒索软件的特性

1.拓展信息文本文档如何回到您的FILES.txt，如下如图：

2.加密文件名，[初始文件夹名称] + [Mr-X666]，

如图所示：三，深入分析 1. 获得程序运行信息并破译运行内存中的相应数据，如下如图：

2.要实行受权操作，请将权限设置为SeBackupPrivilege，SeRestorePrivilege，SeSecurityPrivilege，SeManageVolumePrivilege，如下如图：

3.关掉windows defender的即时保护和行为监控器，如下如图：

4.设置为自启动项，实现起动开机启动操作，如图所示：

5.如下如图遍历设置的卷标：

6.遍历共享网络文件目录文件，如下如图：  

7.遍历硬盘文件目录，如下如图：

8.建立一个进程来遍历共享资源文件目录和硬盘文件目录中的文件，随后建立一个数据加密进程，如下如图：

9.转化成一个隐藏文件.BFC0E91B00AE8A0620D3，载入相应的勒索软件基本信息，数据加密尾缀，保释金文本文档名，勒索软件版本信息等，如图所示：

11.转化成勒索软件文本文档，如下如图：

 4.加密文件操作，加密算法为RSA + DES，如图所示：

13.数据加密完成后，删掉开机启动注册表项，如下如图：

 14.实行删掉硬盘黑影，删掉远程桌面连接信息和删掉系统日志信息等操作，如下如图：

15.实行如下的自删掉操作  四， 解决方法 对于已经使用勒索软件的用户，建议尽早防护受感柒的服务器，因为没有破译工具。深信，提示用户尽早做好病毒检测和防御力对策，防止病毒感染大家族的勒索软件进攻。   病毒检测和杀毒 1，深信为广大用户提供免費杀毒工具，可以下载以下工具进行检测和杀毒。  

32位系统下载地址： .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z   32位系统下载地址： .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR产品和服务器防火墙以及其他网络安全产品具有病毒检测功能。布署相关产品的用户可以实行病毒检测，如下图所示：