DJVU 家族又添新成员:Qual 勒索软件
Table of Contents
什么是 Qual 勒索软件?
Qual Ransomware 是一种恶意软件变种,被认定为 Djvu 勒索软件家族的一部分。Qual Ransomware 展现出这种臭名昭著的网络威胁的典型特征。激活后,它会加密受害者的文件,并通过附加“.qual”扩展名来重命名它们。例如,最初名为“picture.png”的文件将变为“picture.png.qual”,依此类推。加密过程完成后,赎金通知将放在名为“_readme.txt”的文本文件中。
赎金纸条及其要求
Qual Ransomware 留下的赎金通知告知受害者,他们的重要文件(包括数据库、文档和图片)已被加密。为了恢复加密数据,受害者被指示从攻击者那里购买解密程序和密钥。受害者可以通过向网络罪犯发送单个加密文件来测试解密过程。攻击者要求支付 999 美元的解密工具费用,但如果在 72 小时内联系他们,赎金将降至 499 美元。该通知明确警告不要寻求第三方帮助。
以下是该说明的正文:
勒索软件程序如何运作
像 Qual 这样的勒索软件程序主要目的是通过加密数据并索要赎金来勒索受害者的钱财。Qual 勒索软件属于Djvu 家族,它采用多阶段感染链来渗透设备。它在最终有效负载(即数据加密阶段)之前使用了多个 shell 代码。这些勒索软件程序还使用诸如循环之类的机制来延长其运行时间,并使用动态 API 解析来访问关键工具。另一种技术,即进程挖空,允许恶意软件将自己伪装成良性进程,从而降低被发现的机会。
解密的挑战
如果没有攻击者的解密密钥,解密受 Qual 等勒索软件影响的文件通常是不可能的。只有在极少数情况下,在没有攻击者干预的情况下,涉及严重缺陷的勒索软件程序才会解密。即便如此,支付赎金也不能保证文件恢复,因为网络犯罪分子在付款后往往无法提供承诺的解密密钥或软件。专家强烈建议不要支付赎金,因为这会支持和鼓励犯罪活动。
防止进一步损害
为了防止 Qual Ransomware 进一步加密数据,从操作系统中删除恶意软件至关重要。但是,删除勒索软件不会恢复已加密的文件。目前唯一的解决方案是从备份中恢复它们,前提是备份是在感染之前制作并与受感染的系统分开存储。在多个安全位置(例如远程服务器或未插电的存储设备)维护备份是确保数据安全的最佳做法。
常见的勒索软件传播方法
Qual 等勒索软件主要通过网络钓鱼和社会工程技术进行传播。它经常伪装成合法软件或媒体文件或与合法软件或媒体文件捆绑在一起。这些文件有各种格式,包括存档(ZIP、RAR)、可执行文件(.exe、.run)、文档(PDF、Microsoft Office、Microsoft OneNote)和 JavaScript。常见的传播方法包括后门或加载器类型的木马、驱动下载、垃圾邮件中的恶意附件或链接、恶意广告、在线诈骗、可疑下载渠道、非法软件激活工具和虚假更新。
警惕和安全实践
为了防范勒索软件,在网上浏览和处理收到的电子邮件和信息时必须小心谨慎。应避免可疑或无关的邮件,尤其是带有附件或链接的邮件,因为它们可能有害或具有传染性。所有下载都应从官方和经过验证的来源进行,程序应使用合法工具激活和更新。从第三方来源获取软件会增加恶意软件感染的风险。
最后的想法
Qual 勒索软件是一种重大威胁,凸显了 Djvu 勒索软件家族所带来的危险。它会加密关键数据并索要赎金,让受害者陷入困境。然而,由于网络犯罪分子不可靠,支付赎金并不明智。通过警惕、安全浏览习惯和定期将备份存储在安全位置来进行预防是抵御此类勒索软件威胁的最佳防御措施。
