自去年7月被发现的僵尸网路P2PInfect，主要的攻击目标是分散式资料库Redis伺服器，并运用其运算资源挖矿，但最近研究人员发现，有骇客在这款僵尸网路病毒纳入勒索软体功能，而有可能对目标伺服器进行档案挟持。

资安业者Cado发现新的P2PInfect攻击行动，他们看到受害Redis伺服器在感染僵尸网路病毒后，会从特定的URL下载勒索软体rsagen并执行，并对于资料库档案SQLITE3、SQL、DB，文件档案DOC、XLS，以及影音档案MKV、WAV、MP3等，执行档案加密作业，并留下勒索讯息。

照理而言，Redis通常不会将资料存放于磁碟，即使勒索软体取得高权限执行，很可能只能加密Redis组态配置档案，虽然IT人员可指定将资料储存到名为RDB的档案里，但这类档案并不在勒索软体的加密范围，究竟骇客要如何绑架Redis伺服器，研究人员表示仍不清楚。

除了上述的勒索软体模组，研究人员指出与过往的版本相比，这个僵尸网路病毒也在其他层面出现大幅度的变化。首先，他们发现对方重新利用Rust非同步框架Tokio打造，并透过UPX加壳处理，而且，主要执行档被剥离，且有部分程式码经过混淆处理，这样的做法使得静态分析难以识别这款恶意程式。

另一方面，此僵尸网路病毒具备新的使用者模式Rootkit元件，使得该病毒能够借由挟持合法的处理程序，埋藏恶意处理程序及相关档案。

再者，则是攻击者可能采用障眼法，因为他们起初看到对方在P2Pinfect嵌入名为miner的执行档，但这项元件实际上未曾被使用。后来研究人员在P2Pinfect主程式运作约5分钟后，才看到挖矿程式启动。

究竟对方赚了多少钱？研究人员看到骇客赚得71个门罗币（XMR），相当于9,660英镑（约新台币39.7万元），对方的矿池却显示仅有1台机器执行挖矿，每个月约能产生15英镑，对比P2Pinfect僵尸网路的规模，这种现象极为不合理，他们推测，骇客另有实际在挖矿的矿池。