通过排查发现该勒索最早相关感染事件发生在4月4日21点30分左右。

勒索病毒存在两种形式，第一种以TXT形式放送勒索内容，第二种以图片形式放送勒索。

该勒索初期查杀率很低，在终端上仅诺顿可以防护：

<lock v:ext="edit" aspectratio="t">  
</lock>

根据行为特征很有可能是中国人制作，甚至跟作者相关人员有可能曾经混入过针对此勒索的专项群，造成大范围技术人员被踢出群聊：

样本分析

使用VMP3.X加壳，根据习惯，很有可能是国内人员所为。

运行截图如下：

<lock v:ext="edit" aspectratio="t">  
</lock>

该程序使用0x1000格式对齐，比较特殊：

另外目前多个测试环境该样本都无法有效执行，包括WIN10，不排除样本还是测试版本的情况。