Money Message勒索病毒使用C++语言编写，目前最早在野样本出现在3月19日。

Money Message勒索病毒的运行界面如下图所示。首先枚举并结束指定的进程与服务，并搜索受害主机上的本地磁盘类型。

调用系统程序ssadmin.exe 执行delete shadows /all /quiet命令删除卷影副本，防止加密文件后被本地服务数据恢复备份。

之后创建多个线程执行加密，占用CPU较高性能。由于采用的算法强度较高，加密文件的速度比较慢，如果在加密过程中发现并结束勒索可以挽回一定损失。

如下是勒索病毒运行过程中内存中会解密的配置文件，包含了加密过程的黑名单进程与服务名称，白名单文件目录，网络密钥等重要信息。

此外勒索病毒在软件中内嵌了加密的白名单文件列表，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常规勒索病毒不同的是，Money Message在加密文件后并不会更改文件后缀，这直接导致一些可执行文件在被加密后会出现格式报错，文本类文件可以直接打开但数据被加密出现乱码。

在C盘释放的money_message.log实则是勒索信，告知受害者缴纳赎金的谈判地址，并警告受害者如果在规定时间内拿不到赎金，将会公布受害者的私密数据。

Money Message勒索病毒采用ECDH和ChaCha20算法加密用户数据，该加密方式速度虽慢，但加密强度较高，目前还无法破解。

附录：

Money Message勒索加密配置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

样本IOC列表：

★ 天融信产品防御配置 ★

/ 天融信产品获取方式 /

天融信下一代防火墙、过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品特征库下载地址: ftp://ftp.topsec.com.cn

天融信自适应安全防御系统、天融信EDR企业版试用：可通过天融信各地分公司获取。查询网址：

http://www.topsec.com.cn/contact/

天融信EDR单机版下载地址：http://edr.topsec.com.cn