AhnLab于11月25日披露了勒索软件Wiki在韩国的活动。

该勒索软件已被确定为Crysis的变种，伪装成正常程序。在执行实际加密之前，Wiki将自己复制到%AppData%或%windir% system32路径，并添加到注册表中注册为启动程序之一。此外，它还会解码要在内存中终止的与数据库相关的服务和进程名称，并查找当前正在运行的服务和进程并终止它们。由于Crysis类型的勒索软件通常通过RDP分发，研究人员建议注意RDP连接环境。[阅读原文]