腾讯安全威胁情报中心发现“匿影”挖矿团伙的攻击活动升级，新增加密勒索组件CryptoJoker，该组织已从之前的挖矿计算转向勒索攻击非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。“匿影”最新变种依然沿用NSA武器库中的永恒之蓝漏洞工具对目标发起攻击，攻陷目标后在失陷主机上启动X86/X64.dll的感染流程。首先检测该目标是否已经感染本组织的挖矿木马，如果已感染该团伙的挖矿木马，则不再继续感染勒索。初始有效载荷会释放勒索功能模块和横向移动模块。横向移动沿用永恒之蓝漏洞利用工具包。勒索模块样本使用文件嵌套的形式执行加密勒索与清理功能，全程文件不落地，文件加密沿用经典的AES+RSA模式，加密文件后缀为.devos。勒索信中给出了被攻陷主机个人ID，并自称为CryptoJoker，勒索金额额度为0.1BTC。