總結與建議：

1. 近期新發現的 LeakTheMall 勒索軟體（又名 LeakThemAll ）是一種資料鎖定病毒，最早是由網路安全研究員 Amigo A 發現的 。

 

2. 它會將您的文件副檔名延伸更改為 .crypt、.montana 或 .beijing ，而最近新型變種的副檔名 是 .genesis 。

 

3. 該變種病毒 .genesis 執行後除加密檔案外，會 ping Public DNS 主機 1.1.1.1 來確保網路連線是開啟的狀態 ，並且加密作業完成後會自我刪除本身 。

 

4. 它會固定在 C:ProgramData 資料夾內存放固定數字檔名的 Personal ID 檔案。

 

5. 該病毒在加密過程中對於所拜訪的資料夾會先產生 __lock_ XXX__，之後產生 !HELP!.txt 。

 

6. genesis_en.exe 於 NAS 上建立時間為加密時間之後，推測駭客可能因為NAS硬體資源有限、檔案數量太多與資料夾多層次的原因，導致無法一次性完成加密，故想再次加密而第二次上傳程式至 NAS 。

 

7. 該病毒有預設一個排除的資料夾、 NTUSER.DAT與副檔名為 .dll、.lib、.sys等檔案類型的名單，符合名單上所列條件的檔案都不會被加密。

 

8. 該病毒程式內有一些資料庫程式或資料檔案用的副檔名，推測該程式可能會搜尋主機內是否存在這些檔案。這些副檔名的檔案是會被genesis_en.exe 加密，並沒有排除。

 

9. 對於此勒索病毒的預防除了平時做好資料備份外，建議加強 NAS 的管理。

 

檔案下載處：

https://portal.cert.tanet.edu.tw/docs/pdf/2020122109123232292336308652531.pdf