安全专家近日发现了一个以美国政府机构、教育设施为目标的通过恶意邮件派发MarsJoke勒索软件来产生Kelihos僵尸网络威胁的活动。

这些电子邮件是以一种非常标准的形式来进行发送的。邮件消息中包含一个恶意链接,其会链接到一个恶意软件的可执行文件。攻击者主要是冒充从航空公司发来的合法消息，第一次使用恶意软件的攻击发生在9月22日。

这些邮件的主题主要包括以下几个方面：

1、确认你的追踪号码
2、确认你的行李
3、确认你的TN
4、跟踪信息
5、跟踪你的包裹

取其精华：借鉴其他勒索软件的优点

该勒索软件从视觉上会去模仿CTB-Locker以及其他知名的勒索软件，MarsJoke会加密用户的文件并且要求总和为0.7比特币的赎金。激活时间也被限制在96小时内。

另外，该勒索软件附带的助手应用显示勒索软件的通知以及通过TOR网络访问洋葱网站的门户。

受害者的机器上会被创建以下文件：

C:/$Recycle.Bin!!! For Decrypt !!!.bat
C:/$Recycle.Bin!!! Readme for Decrypt!!!.txt
C:/Documents and Settings!!! For Decrypt!!!.bat
C:/Documents and Settings!!! Readme forDecrypt !!!.txt
C:/PerfLogs!!! For Decrypt !!!.bat
C:/Program Files!!! For Decrypt !!!.bat
C:/Program Files!!! Readme For Decrypt!!!.txt

用户被加密的文件会保留原来的文件扩展名，临时文件往往在加密过程中会被扩展为.19以及.apt19。并且桌面背景也会发生改变，勒索软件的通知会以英语、俄语、意大利语、西班牙语和乌克兰语的形式展现。

根据目前已知的情况来说，它看起来像是勒索软件不基于任何代码的的一个新的种类，后续的情况还在了解中。