伴随开学季到来，有安全厂商已截获到针对教育机构的全新勒索病毒Ouroboros，此勒索病毒在加密文件完成后会添加.[ID=十位随机字符][Mail=unlockme123@protonmail.com].Lazarus的后缀，亚信安全将其命名为Ransom.Win32.OUROBOROS. *** 。随着深入的分析，安全专家发现了黑客使用的FTP服务器，服务器上还存有Ouroboros勒索病毒变种文件，安全专家推测该勒索病毒目前正处在持续更新中。

　　勒索病毒Ouroboros详细分析

　　安全专家分析发现，该勒索病毒源文件并未加壳：

　　使用IDA打开此文件，加载符号文件时发现病毒作者编译程序留下的符号文件位置，以此确定此勒索病毒为Ouroboros：

　　初步分析，该勒索病毒中有大量的反调试函数，或者通过函数中包含return函数的形式增加病毒分析难度：

　　进入到程序关键函数，该勒索病毒会调用PowerShell程序，通过vssadmindelete shadows /all /y命令删除卷影副本：

　　然后加载病毒中需要的信息，如邮箱信息，生成ID：