近期，Solar团队收到某纺织公司的援助请求，该公司的计算机服务器受到了Wormhole勒索家族的侵害，所有的文件被加密并且添加了.Wormhole后缀，该勒索软件的初始入侵方式是RDP暴力破解。应客户的要求电脑连vpn之后360wifi，本文暂不提供对入侵事件溯源的分析报告，仅提供该勒索病毒加密器的逆向分析报告。

　　若2相同文件在同一个加密区，在同一次运行时，加密结果相同，猜测文件增加的10Byte为checksum，那么说明勒索软件并没有对文件分发单独的文件密钥，而是所有文件共用一个主密钥

　　病毒启动之后会对白名单等进行配置，关闭部分进程与服务，文件机密完成后删除相关日志文件，同时释放bat脚本用于自删除。