勒索软件勒索软件要求提供裸照而不是比特币

一个名为Ransomwared的勒索软件家族最近一直在发布新闻,至少有两个非常好的原因。一方面,它针对的是个人用户,而不是大型组织,这在当今时代是不寻常的。但是,骗子提出的要求也许更值得注意。看起来不再是比特币了。

关于最近的勒索软件活动的细节不多

尽管似乎很多人都在谈论新发现的勒索软件样本,但有关威胁的分布和操作的实际细节在地面上还很薄。检查过它的专家们对他们如何偶然发现它一无所获。没有用于诱骗受害者安装勒索软件的分发方法和社会工程的信息,我们只能猜测有多少人受到了攻击。

我们确实知道的是,骗子们从来不想从目前的竞选活动中赚钱。

骗子对用户的文件进行加密并要求提供明确的图片,以换取解密器

部署后,Ransomwared会对在受感染计算机上找到的文件进行加密,并在最新版本中附加.iwanttits文件扩展名。缺乏技术分析意味着我们无法确定Ransomwared所针对的文件,但是安全研究人员共享的屏幕快照表明,该文件仅加密在以下文件夹中找到的数据:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

与大多数这种类型的恶意软件家族不同,勒索软件没有留下赎金记录。相反,一旦准备好加密,它将显示一个带有以下消息的弹出窗口:

文件已加密。请告诉我您的山雀将其解密。

单击“确定”按钮将打开另一个窗口,该窗口显示上述四个目录中的文件已加密。有一个用于恢复密钥的字段和第二条消息:

您被勒索了!要恢复文件,请给我们发送您的山雀邮件至:sashagrey@blurred.credit

Emsisoft的研究人员仔细研究了这些新样品,他们正确地指出,骗子们忘了提到他们要寻找哪种山雀。专家建议,受害者可以选择发送小歌手的照片,看看是否能满足罪犯的愿望,而不是将自己的裸照发送到以以前的色情明星命名的地址中,而是通过电子邮件发送。但是,由于使用Ransomwared加密的文件可以很容易地解密,因此甚至没有必要。

恢复数据不需要涉及裸照

向受害者要求提供裸照以换取解锁文件可能是勒索软件运营商采用的相对较新的技术,但该恶意软件本身并不是什么新东西。在Google上的几分钟时间将告诉您,这种病毒最初是在2018年末进行的 ,尽管当时的要求更为传统,但勒索软件的操作却几乎相同。当他们第一次看到它时,安全研究人员分析了勒索软件系列,并很快意识到它不是很高级。

Ransomwared的加密机制依赖于DES(数据加密标准的简称),它是1970年代开发的对称密钥加密算法。在最好的情况下,这是一个弱算法,最重要的是,对最近的勒索软件样本的技术分析显示 ,用于解锁人的文件的密钥以纯文本格式存储在恶意软件的源代码中。

不过,您无需浏览代码即可解密文件。本月初,Emsisoft发布了免费的解密工具 ,该工具可以解锁由新版本和旧版本的Ransomwared加密的文件。

勒索软件的受害者常常犯错误的想法,就是不顾后果而跳枪,屈从于骗子的要求。但是,正如您所看到的,通常只需花费几分钟的时间就可以为您节省一些加密硬币,或者在这种情况下为您带来很多尴尬。所述研究还可以使您了解备份的重要性。

February 14, 2020

发表评论