整个勒索软件威胁数据泄露
在对新提交的恶意软件样本进行调查时,我们的研究人员发现了一个名为“Whole”的勒索软件程序。我们确定它源自 Keylock 勒索软件。该恶意软件会对数据进行加密,并要求勒索赎金以换取解密数据。
在我们的测试中,“Whole”勒索软件加密了文件,并在文件名中添加了“.whole”扩展名。例如,最初名为“1.jpg”的文件将显示为“1.jpg.whole”,“2.png”将显示为“2.png.whole”。
加密过程完成后,桌面壁纸发生更改,并生成标题为“README-ID-[victim's_ID].txt”的勒索字条。从本说明的内容可以明显看出,该勒索软件主要针对企业而非个人用户。
“整个”桌面壁纸上显示的消息指示受害者阅读关联的文本文件(“README-ID-[victim's_ID].txt”)。此勒索字条解释了受害者的文件已被加密,并向他们保证其唯一的解密密钥已安全地存储在攻击者的服务器上。
通过向网络犯罪分子发送一些加密文件(在某些准则内),可以免费测试恢复情况。如果受害者在 3 天内没有尝试联系攻击者,他们的敏感业务相关数据可能会被暴露或出售。
该消息还包括警告,通知受害者重命名或更改受影响的文件以及使用第三方恢复工具或防病毒软件可能会导致数据无法恢复。
整个勒索软件留下了长篇大论
整个赎金字条全文如下:
您的文件已加密
您的文件已使用强大的加密算法进行加密并被修改!
不用担心您的唯一加密密钥安全地存储在我们的服务器上,您的数据可以快速安全地解密。我们可以证明我们可以解密您的所有数据。请向我们发送 3 个不重要的小(~2mb)加密文件,这些文件随机存储在您的服务器上。另请附上我们在每个文件夹中留下的文件 README-ID-.txt。
我们将解密这些文件并将其发送给您作为证据。请注意,免费测试解密的文件不应包含有价值的信息。如果您在 72 小时内不开始与我们对话,我们将被迫在公共领域发布您的文件。您的客户和合作伙伴将收到有关数据泄露的通知。
这样一来,你的名声就会毁掉。如果您不做出反应,我们将被迫向感兴趣的各方出售最重要的信息,例如数据库和个人数据,以产生一些利润。如果您想解决这种情况,请在信中附上此文件 README-ID-.txt 并写信至所有这 2 个电子邮件地址:
pmmx@techmail.info
Wholekey@mailfence.com重要的!
我们建议您直接联系我们,以避免向代理商支付过高费用。
我们要求将您的邮件发送到我们所有的 2 个电子邮件地址,因为由于各种原因,您的电子邮件可能无法送达。
我们的邮件可能会被识别为垃圾邮件,因此请务必检查垃圾邮件文件夹。
如果我们未在 24 小时内回复您,请通过其他电子邮件地址给我们写信。
请不要浪费时间,这只会给您的公司带来额外的损失。
请不要重命名并尝试自行解密文件。如果文件被修改,我们将无法为您提供帮助。
如果您尝试使用任何第三方软件或防病毒解决方案恢复数据,请备份所有加密文件。
如果您从当前计算机中删除任何加密文件,您可能无法解密它们。
勒索软件如何进入您的系统?
勒索软件可以通过各种方式渗透您的系统,了解这些入口点对于保护您的系统免受此类攻击至关重要。以下是勒索软件进入系统的常见方式:
- 电子邮件附件:网络钓鱼电子邮件是勒索软件分发的一种流行方法。网络犯罪分子发送看似合法的电子邮件,其中包含受感染的附件(例如 PDF、Word 文档或 ZIP 文件)或恶意网站的链接。当用户打开这些附件或单击链接时,勒索软件就会被下载并在他们的系统上执行。
- 恶意链接:勒索软件还可以通过电子邮件、即时消息或网站中的欺骗性或恶意链接进行传播。单击这些链接可能会导致勒索软件的下载和执行。
- 恶意广告:网络犯罪分子可能会在合法网站上使用恶意广告(恶意广告)来传播勒索软件。只需访问带有这些广告的受感染网站即可触发恶意软件的自动下载。
- 利用漏洞:勒索软件作者可以利用您的操作系统或应用程序中的软件漏洞。如果您的系统没有安装最新的安全补丁,则可能容易受到基于漏洞的攻击。
- 偷渡式下载:勒索软件可以通过“偷渡式下载”传播,用户在访问受感染或恶意网站时不知不觉地下载恶意代码。这些下载无需任何用户交互或同意即可进行。
- 远程桌面协议 (RDP) 攻击:攻击者可能会利用薄弱或默认的 RDP 凭据来访问远程系统。一旦进入,他们就可以安装勒索软件并加密文件。
- 软件下载:从不受信任或盗版来源下载软件或文件可能会使您的系统遭受勒索软件的攻击。非法软件或破解版本通常带有隐藏的恶意软件负载。