一，行为简述 最近，令人信服的安全团队接到了客户反馈，其网络服务器遭受勒索软件进攻，所有文件数据都被数据加密，数据加密尾缀被取名为“.tater”。 进攻是一种新式的勒索软件。除了免去一些系统文件夹名称之外，它还数据加密其他文件目录的所有尾缀文件而不数据加密。该病毒感染还增加了一个用于掩藏的VB程序shell。由于加密技术采用RSA + AES方法，因此无法临时破译。 

二，侵入分析 文档加密时间为2019/3/26 6: 44左右：  

常见故障排除系统日志发现网络服务器已在2019/3/26 6: 37:

21远程登录，登录iP是内网ip地址：  

网络黑客登录后，流程优化工具Process Hacker用于结束系统中的防护软件，随后将病毒感染放进tater@mail2tor.Com文件夹名称进行敲诈勒索：

 三，深入分析 主编程代码结构如下：

查寻程序自己的资源数据如下：

相应的数据在运行内存中破译如下：

建立子系统进程并按如下方式启用该程序：

建立子系统进程，如下如图：  

勒索软件的核心编码被载入到运行内存中以供执行，运行内存DUMP中的rams数据加密的Payload如下： 11.png  通过判断电脑操作系统语言来免除特定区域，包括：乌克兰，哈萨克斯坦，白俄罗斯，俄罗斯，鞑靼：

删掉硬盘黑影： 

 结束特定的系统进程：   

流程明细如下： Sqlwriter.exe，sqlbrowser.exe，sqlservr.exe，TNSLSNR.EXE，mysqld.exe，MsDtsSrvr.exe，sqlceip.exe，msmdsrv.exe，mpdwsvc.exe，fdlauncher.exe，Launchpad.exe，chrome.exe，oracle。 Exe，devenv.exe，PerfWatson2.exe，ServiceHub服务器连接点x86.exe，Node.exe，Microsoft VisualStudio web Host.exe，Lightshot.exe，netbeans64.exe，spnsrvnt.exe，sntlsrtsrvr.exe，w3wp.exe， TeamViewer_Service.exe，TeamViewer.exe，SecomSDK.exe，schedule2.exe，schedhlp.exe，adm_tray.exe，EXCEL.EXE，MSACCESS.EXE，OUTLOOK.EXE，POWERPNT.EXE，AnyDesk.exe，Microsoft SqlServer IntegrationServices MasterServiceHost.exe ，Microsoft SqlServer IntegrationServices WorkerAgentServiceHost.exe。 破译程序1中的RSA公钥：