详细分析

病毒作者通过易语言论坛和QQ群与攻击目标联系，之后会使用如下方式诱导攻击目标执行病毒代码：

1. 通过精易论坛接单系统联系攻击目标，以有偿修改代码作为诱饵，将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后，即会被勒索病毒加密文件。相关帖子，如下图所示：

精易论坛

 

2. 通过QQ群联系攻击目标，以帮助其脱壳为由，将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后，即会被加密文件。相关受害者发布的论坛帖子，如下图所示：

吾爱破解论坛

病毒存在于被篡改之后编译的精易模块中，引用此模块编译出的可执行程序均带有如下病毒代码：

修改后带毒的精易模块

该勒索病毒会加密C盘桌面和其他盘符上，除自身文件、.lnk文件和没有后缀名文件以外的文件，并在目录下释放勒索说明文档。相关现象，如下图所示：

加密文件并释放勒索信

勒索病毒使用非对称加对称加密算法（RSA+DES），暂时无法解密。相关代码，如下图所示：

RSA加密DES密钥生成用户id

DES加密文件内容

我有整理了【网络安全】的一些资料

有需要的可以call me