DeathRansom:勒索软件通过加密杀死受感染PC上的文件

deathransom

勒索软件已成为计算机用户和企业的全球性问题,近期威胁的受害者已将预算用于攻击,以便他们可以支付所需的赎金并使计算机立即恢复工作状态。勒索软件威胁(例如DeathRansom)在寻求从受害者那里勒索金钱方面更加复杂和无情,从而使他们无处可寻。

DeathRansom是一种勒索软件威胁,它会加密您的数据并要求勒索以恢复数据。受害者报告说,他们被要求在特定时间范围内以加密货币付款,如果不满足,将导致完全数据丢失。但是,不建议您遵循这些要求,因为它们很可能无效,并且可能不仅导致您浪费金钱,而且使计算机处于感染其他威胁的危险中。

DeathRansom会做什么

对这种特定的勒索软件威胁感到好奇的是,它没有对受害者的文件进行加密……或者至少在一开始没有加密。事实证明,DeathRansom勒索软件的初始版本只是假装对数据进行加密,并且受影响的用户能够使他们的文件再次可用。理想情况下,受害计算机用户所要做的就是删除每个文件的.wctc扩展名。此类编码文件的示例为“ 1.docx.wctc”。

可悲的是,仅仅更改受DeathRansom影响的文件的文件扩展名已不再是解决方案。自从DeathRansom的受害者人数增加以来,该威胁改变了其策略,现在能够加密其受害者的个人文件,但不包括.wctc扩展名。到目前为止,要确定DeathRansom勒索软件是否已加密您的数据,唯一的方法是打开受影响的文件,并在加密结束时检查标记。根据报告,文件标记应显示为“ AB EF CD AB”。

这种恶意的DeathRansom威胁以Microsoft Windows用户为目标。渗透后,该威胁会加密受害设备上的所有文件,但文件的完整路径名包含以下字符串的文件除外:

  • 程序数据
  • $ recycle.bin
  • 程序文件
  • 视窗
  • 所有用户
  • 应用程序数据
  • read_me.txt
  • autoexec.bat
  • desktop.ini
  • 自动运行
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • 引导程序
  • ntuser.dat.log
  • thumbs.db

在文件加密过程之后,勒索软件将在每个有加密数据的文件夹中创建一个文本文件(read_me.txt),这样受害者就可以轻松地看到它。

赎金记录

read_me.txt文件是DeathRansom的创建者留下的赎金记录。如前所述,勒索软件的“更新”版本现在能够加密数据,但无需附加任何扩展名。赎金记录似乎也做了些微改动。此消息通知用户其文件已加密,如果不想永久删除它们,则可以在12个小时内遵循给定的说明并以加密货币付款。

死亡赎金说明

注释包括一个个人LOCK-ID和您需要向其发送0.1 BTC的比特币钱包的号码。受害人被指示写一封电子邮件到给定的地址,并包括LOCK-ID和付款时间。

有趣的是,他们提供免费解密您选择的一个文件,以证明他们拥有解密工具并赢得了您的信任。除了指定的时间范围和必须支付的金额外,赎金记录中的新内容还包括要发送的“测试文件”的指定规范。它一定要是:

  • 不大于1MB
  • .txt或.lnk文件,无数据库

最后,赎金说明提供了您可以从中购买比特币的来源。

勒索软件如何传播>

迄今为止,通过对恶意软件计算机安全专家(例如GrujaRS)的研究发现,尚未找到此威胁使用的特定分发方法。它很可能像其他勒索软件一样传播出去。这些方法包括:

  • 欺骗性垃圾邮件
  • 种子文件
  • 恶意广告
  • 虚假更新消息
  • 不可靠的第三方安装
  • 特洛伊木马病毒

传统上,很容易使计算机用户被带有诱人标题的电子邮件所误导。此类垃圾邮件活动可能会尝试用“您的银行帐户将被终止!!”之类的标题来吓users用户。计算机安全专家通常会警告计算机,不要急于打开您看到的每封电子邮件,或主题行诱人或似乎来自您的银行或喜爱的社交媒体网站的电子邮件。在某些情况下,邮件可能伪装成来自知名公司或最大的社交媒体网络之一,例如Facebook或Twitter。最好检查发件人的电子邮件,并将其与实际公司的官方地址进行比较。然后,您将确定该电子邮件是否合法。

恶意软件研究人员通常建议仅从可信赖的来源获取软件更新,而不是单击希望您跟随黑幕链接的随机弹出窗口。

众所周知,用户在安装过程中会忽略基本细节。为确保计算机用户不会意外地将恶意软件与所需程序一起安装,最好是他们寻找安装程序中包含的其他软件。众所周知,恶意软件会伪装成可选程序,因此最好选择不熟悉的安装。

DeathRansom移除和数据恢复

即使DeathRansom的创建者敦促与他们联系并为他们的解密服务付费,最好还是避免遵守他们的要求。相反,专家建议完全消除威胁。为此,建议使用可以安全地检测和删除DeathRansom的可靠软件。

至于数据恢复,最好的选择是依靠保存在云数据库或外部设备上的文件备份。除此之外,还可以从值得信赖的来源中找到高级解密工具,这些工具尤其适用于该勒索软件。最主要的是,除了DeathRansom的开发人员可能解释的内容以外,还有其他选择。最好在决定怎么做之前先将其考虑透彻,因为如果有人选择遵守勒索软件的要求,则不能保证将恢复所有加密文件。

由 Zane
December 19, 2019
Ransomware
汉语
December 19, 2019
Ransomware

热门帖子

微软警告国家支持的威胁行为者正在使用人工智能进行攻击

4 days前

木马 Al11 恶意软件检测

11 months前

Pinaview 是一款功能齐全的广告软件应用程序

10 months前

“您的 iCloud 被黑客攻击”和“您的 iPhone 已被黑客攻击”弹出窗口

7 months前

什么是幸运勒索软件?

7 months前

“美国运通 - 更新您的帐户信息”电子邮件诈骗

6 months前
汉语
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

首页

产品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

支持

帮助 常见问题 Downloads 咨询和支持

公司

关于我们 联系我们 报告滥用

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 隐私政策 Cookie政策 Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。