Reload勒索软件基于Makop

在对 Reload 恶意软件的分析中，我们确定它属于 Makop 系列，具有勒索软件功能，主要用于文件加密。除了加密数据外，Reload 还会投放名为“+README-WARNING+.txt”的勒索字条，并修改文件名。

Reload 会在原始文件名中添加一系列随机字符，可能是受害者的 ID、电子邮件地址和“.reload”扩展名。例如，它将“1.jpg”转换为“1.jpg.[2AF20FA3].[reload2024@outlook.com].reload”，将“2.png”转换为“2.png.[2AF20FA3].[reload2024@” Outlook.com].reload，”等等。

勒索字条以明确的声明开头，表明所有文件已被加密，并且现在带有“.reload”扩展名。它强调了立即联系攻击者以防止加密文件在互联网上发布的紧迫性。该注释提供了电子邮件地址 reload2024@outlook.com 以供沟通之用。

此外，该说明还威胁说，如果受害者未能直接与攻击者进行文件恢复，则文件将永久丢失，明确不鼓励使用中介公司或基于互联网的程序进行恢复工作。

重新加载完整的勒索信

Reload生成的勒索信全文如下：

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

像 Reload 这样的勒索软件是如何在线传播的？

与许多勒索软件变体一样，Reload 通常通过各种方法在线分发，旨在利用漏洞或诱骗用户下载和执行恶意内容。以下是 Reload 等勒索软件的常见分发方法：

网络钓鱼电子邮件：网络犯罪分子经常使用网络钓鱼电子邮件来传播勒索软件。这些电子邮件可能看似合法，但包含恶意附件或链接。在重新加载的情况下，用户可能会被引诱打开附件，例如看似无害的文档或文件，然后触发恶意软件安装过程。

恶意网站：访问受感染或恶意网站可能会导致无意下载和安装勒索软件。网络犯罪分子可能会利用浏览器或插件中的漏洞来传递恶意负载。

漏洞利用工具包：网络攻击者可能会使用漏洞利用工具包来针对软件、操作系统或浏览器中的已知漏洞。当用户访问受感染的网站时，漏洞利用工具包会扫描漏洞并在发现合适的漏洞时传递勒索软件有效负载。

路过式下载：访问网站时无意中下载恶意内容（通常通过弹出窗口或自动下载）可能会导致勒索软件的安装。用户可能不知道这些下载，从而使恶意软件更容易渗透系统。

恶意广告（Malvertising）：网络犯罪分子可能会使用在线广告来分发勒索软件。点击受感染的广告可以将用户重定向到托管恶意软件的网站或触发自动下载。

受感染的软件：攻击者可能会破坏合法的软件安装程序或更新，在用户下载并安装看似正宗的软件之前向其中注入勒索软件。