Trash Panda 勒索软件显示异常的勒索信息

在对最近提交的文件进行例行检查时，我们的研究小组偶然发现了 Trash Panda 勒索软件变种。这种特殊的恶意软件是我们在不断调查新兴威胁的过程中被发现的。

在我们的受控测试环境中执行 Trash Panda 样本后，该程序立即启动了其数据加密例程。结果，文件名发生了变化，添加了“.monochrome”扩展名。例如，名为“1.jpg”的文件迅速转换为“1.jpg.monochrome”，而“2.png”则变为“2.png.monochrome”，依此类推。一旦加密过程结束，就会生成一个标有“[random_string]-readme.html”的附带勒索字条。

Trash Panda 使用的勒索信传达了令人痛苦的信息：受害者的文件已被安全加密。该说明还主张与攻击背后的恶意行为者联系，以便启动受损数据的恢复过程。其中包含一个重要警告，强调如果在倒计时为零之前未能与网络犯罪分子建立联系，将导致解密密钥永久删除，从而有效地使任何数据恢复尝试都徒劳无功。

垃圾熊猫勒索信暗示军事冲突

Trash Panda 勒索软件的全文使用 leet-speak，用数字代替字母，并提到某种武装冲突，但没有提及任何具体内容。注释内容如下：

垃圾熊猫队来了

您的所有文件已被我们销毁

7r45H P4ND4 一些软件

让我们制作一个D341。你解放了我们的人民。我们释放您的数据。

不要尝试恢复任何文件。所有文件均使用美国国家标准与技术研究院 (NIST) 制定的非常先进的加密标准进行销毁。您可以检查以下链接以了解您的文件是如何被删除的。 hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

我们不关心你的数据。我们不在乎钱。我们希望我们的家人回到我们身边，而你们则离开我们的祖国。

哦，顺便说一句，你做出决定的时间有限。我们将在倒计时结束后删除主密钥。快点~快点~

您的密钥将在之后被删除
（倒计时器）

您可以通过以下方式联系我们：

如果您想要回文件，请将以下密钥输入到输入表单中。我们稍后会联系您

Trash Panda 等勒索软件如何在线传播？

Trash Panda 等勒索软件的传播通常涉及各种旨在利用漏洞、用户行为和技术弱点的策略和技术。虽然我没有关于“Trash Panda”分发方式的具体信息，因为我的知识截止日期是 2021 年 9 月，但我可以为您提供有关勒索软件通常如何分发的一般见解：

• 网络钓鱼电子邮件：网络犯罪分子经常发送看似来自合法来源的令人信服的电子邮件，其中包含恶意附件或链接。当用户与这些附件或链接交互时，勒索软件有效负载就会被下载并在其系统上执行。
• 恶意广告：网站或广告网络上的恶意广告可能会将用户引导至托管勒索软件的网站。只需访问受感染的网站即可触发勒索软件下载到受害者的计算机上。
• 偷渡式下载：网络犯罪分子可以利用软件、插件或浏览器组件中的漏洞向用户系统传送勒索软件，而无需任何用户交互。这称为偷渡式下载。
• 受损的软件安装程序：攻击者可以渗透合法的软件安装程序，添加勒索软件负载。当用户从受感染的来源下载并安装软件时，勒索软件也会被安装。
• 远程桌面协议 (RDP) 攻击：攻击者可以针对 RDP 连接较弱或未受保护的系统。他们手动获取访问权限并安装勒索软件，或使用自动化工具来传递勒索软件有效负载。
• 恶意宏：当用户在 Microsoft Office 文档中启用宏时，嵌入在这些文档中的恶意宏可用于下载和执行勒索软件。