Matrix勒索软件的一个新变体已经被发现，它会在加密文件之后为其添加. fox扩展名。特别令人感兴趣的是，这个新的Matrix Fox变种似乎连一个文件也不想放过，这导致它的加密过程非常缓慢，从而更加容易被检测到。 [出自:jiwo.org]

这个Matrix Fox变种是由安全研究员MalwareHunterTeam首先发现的，且需要攻击者手动安装到目标计算机上，任何连接到互联网且启用了远程桌面服务（RDP）的计算机都可能成为攻击者的目标。

为了找出可攻击的目标计算机，攻击者首先会通过扫描IP地址来找到启用了远程桌面服务的联网计算机，然后使用暴力破解进行登录。一旦他们登录成功，就会进行Matrix Fox变种的手动安装，这期间会显示各种控制台窗口以及对计算机文件的加密进度。

Fox勒索软件如何加密计算机文件？

Fox勒索软件是Matrix勒索软件的一个变种，和它的前身一样，会与它的命令和控制（C&C）服务器进行大量的通信，并且还会显示加密文件过程的实时进度。

在Fox勒索软件执行之后，它将连接到命令和控制服务器，并开始记录加密过程的各个阶段。在加密过程中，它将频繁与C&C进行通信以提交当前的状态。

另外，它还将打开两个控制台窗口，用于显示当前的加密进度，以便攻击者可以掌控整个过程。第一个窗口显示的是加密过程的进度，而另一个控制台窗口显示的是扫描为开放共享的网络地址。

值得注意的是，Fox勒索软件还会释放一个批处理文件，该文件会尝试彻底关闭它将要加密的文件的所有打开的文件句柄。它首先会从文件中删除所有属性、更改权限、获取所有权，然后使用Sysinternals（包含一系列免费的系统工具程序集，可提高用户对Windows系统的日常诊断和排错能力）的一个重命名版本的Handle.exe程序来实现这一目标。

对于每一个被加密的文件，Fox勒索软件都会首先在其上执行上述的批处理文件，然后在对文件进行加密。在加密之后，它会将文件进行重命名并添加.FOX扩展名。例如，一个文件在被加密之后，它的文件名将变更为[PabFox@protonmail.com].cAE5V4FC-wwWa0jxY.FOX。

在每个文件夹中，它还将创建一个名为＃FOX_README＃.rtf的赎金票据，其中包含有关如何联系攻击者以获取付款方式的说明。除了电子邮箱地址之外，它还列出了一个Bitmessage账户（一个通讯软件，允许用户在匿名的情况下传输任何信息给接收者，或者从任何发布者那里订阅信息）。

不仅如此，受害者的计算机桌面壁纸也将被一个精简的赎金票据图片所取代。

在加密过程结束时，Matrix勒索软件还将执行位于％AppData％文件夹中的一个随机命名的.vbs文件，用于注册一个名为DSHCA的计划任务。此计划任务用于运行具有管理权限的批处理文件，该文件将执行计算机的清理并禁用各种修复功能。

这个批处理文件也位于%AppData%文件夹中，它将使用WMIC、powershell和vssadmin来删除卷影副本，并删除Windows启动恢复。最后，删除VBS文件、计划任务以及自身，以清除恶意操作痕迹。

好消息是，正文文章开头所提到的那样，由于Fox勒索软件企图加密所有文件，因此导致它的加密过程非常缓慢，这允许我们在它的加密完成之前发现其恶意行为。

如何保护自己免受Fox勒索软件的侵害？

为了保护自己免受诸如Fox这样的勒索软件的侵害，建立良好的计算机使用习惯以及安装实用的安全软件非常重要。另外，你应该不定期地创建可靠且经过测试的数据备份，以便在紧急情况下（如遭遇勒索软件攻击）用于数据恢复。

由于Fox勒索软件是通过暴力破解远程桌面服务来进行手动安装的，因此谨慎使用该服务同样很重要。比如，应用虚拟专用网络（VPN）在公用网络上建立专用网络，以确保对通讯的加密，以及仅为受信任的第三方开放访问权限。