DeathRansom:勒索软件通过加密杀死受感染PC上的文件
勒索软件已成为计算机用户和企业的全球性问题,近期威胁的受害者已将预算用于攻击,以便他们可以支付所需的赎金并使计算机立即恢复工作状态。勒索软件威胁(例如DeathRansom)在寻求从受害者那里勒索金钱方面更加复杂和无情,从而使他们无处可寻。
DeathRansom是一种勒索软件威胁,它会加密您的数据并要求勒索以恢复数据。受害者报告说,他们被要求在特定时间范围内以加密货币付款,如果不满足,将导致完全数据丢失。但是,不建议您遵循这些要求,因为它们很可能无效,并且可能不仅导致您浪费金钱,而且使计算机处于感染其他威胁的危险中。
Table of Contents
DeathRansom会做什么
对这种特定的勒索软件威胁感到好奇的是,它没有对受害者的文件进行加密……或者至少在一开始没有加密。事实证明,DeathRansom勒索软件的初始版本只是假装对数据进行加密,并且受影响的用户能够使他们的文件再次可用。理想情况下,受害计算机用户所要做的就是删除每个文件的.wctc扩展名。此类编码文件的示例为“ 1.docx.wctc”。
可悲的是,仅仅更改受DeathRansom影响的文件的文件扩展名已不再是解决方案。自从DeathRansom的受害者人数增加以来,该威胁改变了其策略,现在能够加密其受害者的个人文件,但不包括.wctc扩展名。到目前为止,要确定DeathRansom勒索软件是否已加密您的数据,唯一的方法是打开受影响的文件,并在加密结束时检查标记。根据报告,文件标记应显示为“ AB EF CD AB”。
这种恶意的DeathRansom威胁以Microsoft Windows用户为目标。渗透后,该威胁会加密受害设备上的所有文件,但文件的完整路径名包含以下字符串的文件除外:
- 程序数据
- $ recycle.bin
- 程序文件
- 视窗
- 所有用户
- 应用程序数据
- read_me.txt
- autoexec.bat
- desktop.ini
- 自动运行
- ntuser.dat
- iconcache.db
- bootsect.bak
- 引导程序
- ntuser.dat.log
- thumbs.db
在文件加密过程之后,勒索软件将在每个有加密数据的文件夹中创建一个文本文件(read_me.txt),这样受害者就可以轻松地看到它。
赎金记录
read_me.txt文件是DeathRansom的创建者留下的赎金记录。如前所述,勒索软件的“更新”版本现在能够加密数据,但无需附加任何扩展名。赎金记录似乎也做了些微改动。此消息通知用户其文件已加密,如果不想永久删除它们,则可以在12个小时内遵循给定的说明并以加密货币付款。
注释包括一个个人LOCK-ID和您需要向其发送0.1 BTC的比特币钱包的号码。受害人被指示写一封电子邮件到给定的地址,并包括LOCK-ID和付款时间。
有趣的是,他们提供免费解密您选择的一个文件,以证明他们拥有解密工具并赢得了您的信任。除了指定的时间范围和必须支付的金额外,赎金记录中的新内容还包括要发送的“测试文件”的指定规范。它一定要是:
- 不大于1MB
- .txt或.lnk文件,无数据库
最后,赎金说明提供了您可以从中购买比特币的来源。
勒索软件如何传播>
迄今为止,通过对恶意软件计算机安全专家(例如GrujaRS)的研究发现,尚未找到此威胁使用的特定分发方法。它很可能像其他勒索软件一样传播出去。这些方法包括:
- 欺骗性垃圾邮件
- 种子文件
- 恶意广告
- 虚假更新消息
- 不可靠的第三方安装
- 特洛伊木马病毒
传统上,很容易使计算机用户被带有诱人标题的电子邮件所误导。此类垃圾邮件活动可能会尝试用“您的银行帐户将被终止!!”之类的标题来吓users用户。计算机安全专家通常会警告计算机,不要急于打开您看到的每封电子邮件,或主题行诱人或似乎来自您的银行或喜爱的社交媒体网站的电子邮件。在某些情况下,邮件可能伪装成来自知名公司或最大的社交媒体网络之一,例如Facebook或Twitter。最好检查发件人的电子邮件,并将其与实际公司的官方地址进行比较。然后,您将确定该电子邮件是否合法。
恶意软件研究人员通常建议仅从可信赖的来源获取软件更新,而不是单击希望您跟随黑幕链接的随机弹出窗口。
众所周知,用户在安装过程中会忽略基本细节。为确保计算机用户不会意外地将恶意软件与所需程序一起安装,最好是他们寻找安装程序中包含的其他软件。众所周知,恶意软件会伪装成可选程序,因此最好选择不熟悉的安装。
DeathRansom移除和数据恢复
即使DeathRansom的创建者敦促与他们联系并为他们的解密服务付费,最好还是避免遵守他们的要求。相反,专家建议完全消除威胁。为此,建议使用可以安全地检测和删除DeathRansom的可靠软件。
至于数据恢复,最好的选择是依靠保存在云数据库或外部设备上的文件备份。除此之外,还可以从值得信赖的来源中找到高级解密工具,这些工具尤其适用于该勒索软件。最主要的是,除了DeathRansom的开发人员可能解释的内容以外,还有其他选择。最好在决定怎么做之前先将其考虑透彻,因为如果有人选择遵守勒索软件的要求,则不能保证将恢复所有加密文件。