Pres 勒索软件:来自 Dharma 家族的危险威胁
Table of Contents
了解 Pres 勒索软件
Pres 勒索软件是Dharma 勒索软件家族中又一个威胁性十足的新成员。与其前代勒索软件一样,Pres 会加密受害者的文件,并要求受害者支付赎金才能恢复文件。该变种特别容易识别的地方在于它重命名加密文件的方式。它会在每个文件名后附加受害者的唯一 ID、联系电子邮件地址以及“.pres”扩展名。例如,原本名为“document.pdf”的文件在加密后会显示为“document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres”。
除了加密文件外,Pres 还会弹出勒索信息,并在受感染的目录中放置一个名为“info.txt”的文本文件。该信息告知受害者他们的文件已被加密,并提供了通过电子邮件联系攻击者的说明。受害者需要将其唯一 ID 发送至以下两个电子邮件地址之一:helpreserve@onionmail.org 或 helpreserve@cyberfear.com。
攻击者想要什么
勒索信试图显得很有帮助,甚至让人安心。它声称受害者的文件可以恢复,并承诺免费解密最多三个小型非敏感文件作为证据。但是,这些示例文件的总大小不得超过 3MB,并且不能包含备份、数据库或大型电子表格。该信还警告说,重命名文件或使用第三方恢复工具可能会造成不可逆转的损害。
攻击者使用一种典型的心理操纵手段,建议不要让第三方介入,声称这可能会提高赎金成本。此举旨在孤立受害者,增强他们对攻击者承诺的依赖——尽管付款后可能无法收到任何解密工具。
赎金通知的内容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Pres 和其他勒索软件程序的工作原理
像 Pres 这样的勒索软件旨在通过使用强算法加密来劫持用户数据。一旦加密,文件将无法使用,除非使用只有攻击者拥有的唯一密钥解密。受害者通常被迫做出艰难的选择:支付赎金并希望攻击者信守承诺,或者尝试通过其他方式恢复数据。
Pres 勒索软件的攻击手段远不止加密文件。它还会删除卷影副本(Windows 用于备份),禁用防火墙以避免被检测到,并试图通过将自身复制到系统中的隐藏位置并修改 Windows 注册表来保持持久性。这些策略旨在确保勒索软件即使在系统重启后也能运行,并抵御清除攻击。
支付赎金的风险
虽然支付赎金看似是恢复数据的最快途径,但这其实是一场赌博,没有保证的回报。攻击者可能会拿了钱就消失,或者提供错误或不完整的解密密钥。此外,支付赎金只会助长进一步的网络犯罪活动,使勒索软件更具利润,对攻击者更具吸引力。
大多数情况下,如果没有备份或官方解密工具,恢复数据极其困难。遗憾的是,存储在联网或受感染设备上的备份也可能被盗用。因此,有效的备份措施至关重要,例如将备份存储在未插电的外部驱动器或安全的云服务上。
Pres勒索软件如何传播
Pres 勒索软件感染通常是由于远程桌面协议 (RDP)安全性薄弱造成的。网络犯罪分子经常利用保护薄弱的 RDP 服务,使用暴力破解或字典攻击来获取未经授权的访问权限。一旦进入系统,他们就会手动部署勒索软件。
其他感染方式包括包含恶意附件或链接的网络钓鱼电子邮件、来自不可信网站的路过式下载、捆绑恶意软件的盗版软件以及欺骗性广告。用户还可能通过 P2P 网络或虚假的软件更新提示遭遇勒索软件。恶意软件通常伪装成合法程序或文档,诱骗用户激活感染。
如何保持保护
预防像 Pres 这样的勒索软件,首先要谨慎上网,并采取可靠的网络安全措施。避免从非官方网站下载软件,避开盗版程序或密钥生成器,切勿在不熟悉的 Office 文档中启用宏。对于来源不明的电子邮件附件或链接,即使它们看起来很紧急或重要,也要格外谨慎。
定期更新操作系统和软件,修补已知漏洞。使用信誉良好的防病毒工具,并配备实时保护功能。经常备份重要数据,并将备份存储在安全、不联网的地方。
最后的想法
Pres 勒索软件是现代勒索软件威胁日益复杂和破坏力极强的另一个例证。它结合技术隐身与社交操控,迫使受害者支付赎金,而这些赎金甚至可能无法恢复文件。通过保持警惕、遵循最佳网络安全实践并维护安全备份,用户和组织可以大大降低遭受这些数字勒索软件攻击的风险。
