Carver 勒索软件是 Phobos 的克隆
Carver 勒索软件是属于 Phobos 勒索软件家族的恶意程序,旨在加密数据并要求赎金进行解密。在测试机上运行 Carver 样本后,它通过使用唯一 ID、网络罪犯的电子邮件地址和“.Carver”扩展名修改文件名来加密文件。例如,最初名为“1.jpg”的文件显示为“1.jpg.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver”。
加密过程完成后,Carver 勒索软件创建了两个赎金票据,“info.hta”(弹出窗口)和“info.txt”。该文本文件通知受害者他们的数据已被加密,并指示他们联系攻击者。弹出窗口消息阐明解密过程需要比特币加密货币赎金支付。赎金数额并未在说明中具体说明,但据说取决于受害者与负责攻击的网络罪犯联系的速度。在支付赎金之前,受害者可以免费测试解密(在特定规格范围内)。
该消息最后警告不要重命名加密文件和使用第三方解密工具,因为这可能会使数据无法解密。
Carver 赎金票据复制了通常的 Phobos 模式
Carver 勒索软件生成的完整赎金票据使用常用的 Phobos 模板,内容如下:
您的所有文件都已加密!
由于您的 PC 存在安全问题,您的所有文件都已加密。如果你想恢复它们,请写信给我们的电子邮件 ineedatool@rape.lol
在您的消息标题中写下此 ID -
您必须用比特币支付解密费用。价格取决于您给我们写信的速度。付款后,我们将向您发送解密所有文件的工具。免费解密为保证
在付款之前,您最多可以向我们发送 3 个文件以供免费解密。文件总大小必须小于 4Mb(非存档),并且文件不应包含有价值的信息。 (数据库、备份、大型 Excel 工作表等)如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册,点击“购买比特币”,然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币和初学者指南的地方:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/注意力!
不要重命名加密文件。
不要尝试使用第三方软件解密您的数据,这可能会导致永久性数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(他们向我们收取费用)或者您可能成为骗局的受害者。
像 Carver 这样的勒索软件如何进入您的系统?
像 Carver 这样的勒索软件可以通过各种方法感染您的系统。一些常见的方式包括:
网络钓鱼电子邮件:网络罪犯可能会发送带有恶意附件或链接的网络钓鱼电子邮件。下载并打开附件或单击链接后,勒索软件可能会下载到您的系统中。
恶意网站:访问不受信任的网站或恶意网站也可能导致将勒索软件下载到您的系统中。恶意软件可以通过软件漏洞或通过诱骗您下载和安装虚假软件更新来安装。
易受攻击的软件:勒索软件可以利用尚未更新或修补的软件中的漏洞。攻击者可以通过操作系统、浏览器和插件等过时的软件访问您的系统。
不安全的 RDP:远程桌面协议 (RDP) 是攻击者的常见目标。如果您的系统启用了 RDP,并且没有使用强密码或双因素身份验证来保护它,攻击者可以轻松访问您的系统。
为防止勒索软件攻击,必须使您的系统和软件保持最新状态,使用强而独特的密码,并在打开电子邮件附件或单击链接时保持谨慎。还建议使用信誉良好的防病毒软件并定期备份您的数据。