GhostLocker 勒索软件将加密受害者的文件
GhostLocker 是由网络犯罪组织 GhostSec 创建的勒索软件程序。此类恶意软件被归类为勒索软件,旨在加密数据并要求为其解密付费。
在我们的测试环境中,GhostLocker 加密了文件并在其名称中添加了“.ghost”扩展名。例如,名为“1.jpg”的原始文件将转换为“1.jpg.ghost”,而“2.png”将转换为“2.png.ghost”,并且此模式适用于所有受影响的文件。
加密过程完成后,就会存入一张勒索字条,通常标题为“lmao.html”。值得注意的是,HTML 文档的名称可能会有所不同。
GhostLocker 的消息通知受害者,他们的文件已使用 RSA-2048 和 AES-12 加密算法进行加密,并且敏感数据已被窃取。
要解密文件,必须支付赎金。受害者有 48 小时的时间联系攻击者,如果未能在这个期限内完成,将导致赎金金额增加。拒绝遵守网络犯罪分子的要求将导致数据遭到破坏。
该说明警告不要重命名加密文件或使用第三方恢复工具,因为这样做可能会导致永久数据丢失。受害者还被警告,向第三方或当局寻求帮助将导致数据丢失和被盗内容的暴露。
GhostLocker 勒索信试图听起来很聪明
“lmao.html”文件中生成的勒索字条全文如下:
幽灵储物柜
我们跑狗屎是因为我们可以您所有的重要文件都被盗并被加密
您的个人加密 ID:-(保存)您的所有重要文件均已被盗,并使用 RSA-2048 和 AES-128 军用级密码进行加密。这意味着无论您如何尝试,取回文件的唯一方法就是与我们合作并遵循我们的要求。
您有 48 小时(2 天)的时间联系我们。如果您没有在该时间内联系我们,赎金金额将会增加。
如果您不支付赎金,您的文件将被永远销毁。
您可以通过以下方式联系我们
注意力
除了上面提到的最重要的联系信息之外,请勿向任何其他人支付赎金。
不要重命名加密文件
请勿尝试使用第三方软件解密您的数据,这可能会导致永久数据丢失
执法/数据恢复团队/第三方安全供应商的任何参与都将导致数据永久丢失并立即公开数据发布
勒索软件如何渗透您的系统?
勒索软件可以通过各种方法渗透您的系统,了解这些入口点对于防止此类攻击至关重要。以下是勒索软件访问您的系统的一些常见方式:
- 网络钓鱼电子邮件:最常见的方法是通过网络钓鱼电子邮件。您可能会收到一封看似来自合法来源的电子邮件,但其中包含恶意附件或链接。打开这些附件或单击这些链接可能会触发勒索软件在您的计算机上下载和执行。
- 恶意网站:访问恶意或受感染的网站可能会使您的系统遭受勒索软件的攻击。这些网站可能会利用您的网络浏览器或插件中的漏洞来下载并执行勒索软件。
- 恶意广告:在线广告可用于传播勒索软件。网络犯罪分子可能会在合法网站上放置恶意广告,如果您点击它们,您可能会无意中下载勒索软件。
- 偷渡式下载:某些网站会在未经您同意的情况下自动将文件下载到您的计算机上。如果您的系统没有得到适当的保护,这些偷渡式下载可能会安装勒索软件。
- 软件漏洞:过时或未修补的软件可能存在勒索软件可以利用的安全漏洞。让您的操作系统、应用程序和安全软件保持最新状态至关重要。
- 远程桌面协议 (RDP) 攻击:网络犯罪分子可以利用薄弱或默认的 RDP 凭据来远程访问您的计算机。一旦进入,他们就可以部署勒索软件。
- 恶意附件:勒索软件可以通过恶意电子邮件附件传播,例如受感染的 Microsoft Office 文档或可执行文件。这些附件可能会利用软件漏洞或诱骗您运行它们。