加密后的文件后缀名格式：

[原文件].[ID=随机数字字符串].

[Mail=unlockme123@protonmail.com].Lazarus

弹出的勒索提示信息，如下所示：

黑客留下的邮箱地址：unlockme123@protonmail.com

为啥国外安全研究人员认为此勒索病毒为Ouroboros，可能是由于在使用IDA静态分析的时候发现了它的PDB文件路径，如下所示：

可以看出它的PDB文件路径为：

D:\Raas\ouroboros_en\Release\Ouroboros_en.pdb，猜测这款勒索病毒可能也是一款RAAS勒索病毒

同时看到这款勒索病毒的加密后缀为:Lazarus，它是《圣经*约翰福音》中记载的人物，他病危时没等到耶稣的救治就死了，但耶稣一口断定他将复活，四天后拉撒路果然从山洞里走出来，证明了耶稣的神迹，从而它也代表着：死而复生，东山再起之意

这款新型的勒索病毒使用这个加密后缀，作者会不会也有某种意预，或想说明什么呢?

随着GandCrab勒索病毒停止更新之后，已经有多款新型勒索病毒出现，这些新型的勒索病毒背后都有着强大的运营团队，这些运营团队大概也是因为看到了GandCrab勒索病毒获取了巨大利益

查看些勒索病毒的时间戳为2019-08-11，如下所示：

此勒索病毒核心技术原理剖析

1.此勒索病毒会遍历进程，然后结束相关的数据库进程，如下所示：

结束的数据库相关进程列表，如下：

sqlserver.exe、msftesql.exe、sqlagent.exe、sqlbrowser.exe、

sqlwriter.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe

2.通过调用powershell命令删除磁盘卷影副本，如下所示：

最近一两年针对企业的勒索病毒攻击越来越多了，各个企业应该做好相应的防护措施，提高员工的安全意识，针对企业勒索病毒攻击，可以参考下面两篇文章

《勒索病毒防范措施与应急响应指南》

《企业中了勒索病毒该怎么办？可以解密吗？》

往期精彩内容回顾

《威胁情报从哪儿来，你知道吗？》