俄罗斯黑客通过大规模恶意广告活动传播VegaLocker勒索软件

vegalocker ransomware

VegaLocker被称为勒索软件威胁,于2019年2月11日首次发现,当时它进入网络并声称是其第一批网络受害者。当时,没有人能预料到这将是持续的威胁。随着一系列代码变体的诞生,恶意感染不仅得以幸存,而且还在蓬勃发展。到目前为止,由于使用了VegaLocker,Web用户受到了勒索软件威胁Jumper(Jamper), Buran和Zeppelin的攻击。这些感染归因于VegaLocker的代码。

原始威胁背后的网络罪犯不断对其进行修改,改进,为其赋予不同的名称,以便继续困扰互联网用户。由于进行了这些修改,事实证明,对于安全专家来说,VegaLocker勒索软件很难处理。一旦他们想出一种方法来对抗可怕的感染,它就会进行更新并“进化”,并继续感染一个系统。 VegaLocker不断变化并改进其代码。它正在不断地修改其性能。而且,每当恶意软件专家太接近解决威胁时,其背后的黑客都会进行更新和改进。并且,如果有需要,请重塑品牌。毕竟, 这就是Jumper(Jamper),Buran和Zeppelin成为的样子

VegaLocker的分析

勒索软件背后的黑客已使用Delphi语言对其进行了编程。这本身就为应对VegaLocker威胁提供了障碍–对该语言进行反向工程是很困难的。

感染是不同病毒的融合。它包含来自各种威胁的元素。例如,在VegaLocker代码中,发现了圣甲虫勒索软件系列的剩余代码。源代码与臭名昭著的感染共享,例如失忆症和Gloverabe2。该发现可能意味着两件事:创建威胁的同一个人使用相同的代码作为基础创建了VegaLocker,并计划自己使用它,或者他们将VegaLocker勒索软件制作为针对不同黑客的自定义命令。

VegaLocker是如何滑入您的系统的?

安全研究人员对威胁进行了分析,发现威胁始于安全旁路模块。该模块可确保在本地系统上扫描安全程序和引擎的任何迹象,任何可能阻止正常VegaLocker执行的迹象。

它寻找以下引擎的签名:






Habbo,Rebhip,Qt Company Ltd,Microsoft Corporation,Delphi库,SMART INSTALL MAKER,InnoSetup,James Jackson-South,Microsoft Visual C / C ++库,libczmq3,Adobe Systems Incorporated,Mercury Interactive,NSIS,Splinterware软件解决方案和StockSharp LLC 。

如果发现它认为有问题的任何内容,则将其禁用或删除。完成第一步后,它将继续处理引导选项。 VegaLocker会重新配置操作系统的配置文件并进行配置,因此病毒文件会在计算机加电后立即启动。为了巩固对启动选项的控制,它禁用对恢复启动选项和菜单的访问。这阻碍了用户尝试手动恢复指南。

VegaLocker不仅会因禁用访问而停止。它还会从系统中删除关键数据。它针对操作系统使用的数据-备份,系统还原点,卷影副本。 VegaLocker彻底清除了它认为可能对其攻击构成障碍的所有内容。

臭名昭著的感染不惜一切代价逃避检测-有时甚至以自我删除为代价。勒索软件遵循编程规避虚拟机主机。怎么样?它会定期监视计算机的运行过程,寻找与虚拟机管理程序或来宾添加有关的字符串的迹象。如果发现任何内容,它将停止,甚至将其自身从计算机中删除。

VegaLocker不仅可以加密您的数据,甚至还可以提取它!它可以获取个人和财务信息,然后将其用于恶意目的-身份盗用,财务滥用,勒索。勒索软件还混入了各种系统设置。它会修改Windows注册表,并为其自身创建条目或修改已经存在的条目。这种干预会导致系统性能下降。您会遇到滞后,错误,警告和警报弹出窗口。勒索软件通常会导致系统性能严重问题。这样,只要感染仍然存在,您的计算机就几乎无法使用。

vegalocker勒索软件文字说明
VegaLocker Ransomware勒索注释文本文件的图像

VegaLocker对受感染系统的干预相当广泛。勒索软件引擎搜索活动的远程桌面配置服务。如果已经制作了一个这样的文件,勒索软件将对其进行访问并进行编辑。它添加了凭据,供黑客使用。这不是所有勒索软件威胁所采取的步骤。只有诸如VegaLocker之类的高级工具才知道这样做并加以利用。他们可以在您的计算机上安装更多恶意威胁,如特洛伊木马。或者,他们甚至可以在您的机器上允许使用加密货币矿工,不仅勒索您钱财,而且还利用计算机资源赚钱。矿工可以以多种形式出现,例如附加到其他文件的代码或独立的应用程序。一旦执行或颁布,您将感受到其逗留的后果。它将对内存,CPU或GPU以及硬盘空间等组件造成损失。

安全专家推断,VegaLocker的主要分发技术涉及使用恶意广告活动。这是用最少的精力进行大规模分配的最简单方法 。感染背后的黑客释放了许多恶意垃圾邮件,这些电子邮件包含要求您单击的链接或受邀下载的附件。如果您不喜欢这些策略,那么您最终将面临令人讨厌的网络威胁。

自然,勒索软件可以采用多种入侵方法。它也可以通过受感染的应用程序安装程序潜入。网络犯罪分子选择流行的软件,该软件会引起用户大量下载。然后,他们将安装脚本嵌入到该软件的安装文件中。他们通过从软件供应商处获取原始文件,然后进行恶意添加来解决这一难题。

渗透的另一个可行选择是通过受感染的文档-电子表格,演示文稿,数据库等。勒索软件的安装代码成为插入其中的宏的一部分。然后,打开文档后,会弹出一条消息,要求将其启用。如果这样做,您将可以使用VegaLocker勒索软件。

VegaLocker还可以通过伪造的用户个人资料来阻止其进入。随着社交媒体的不断使用,这被证明是一种有效的侵入性方法。社区论坛上的帖子,直接发送给大众的消息以及用于此的个人资料可能是伪造的,也可能是被黑客入侵的真实个人资料。当您在屏幕上看到带有“单击它”消息的链接时,请务必小心。警惕是您的朋友。

VegaLocker入侵后会发生什么?

一旦勒索软件进入您的系统,它就会发出攻击。它使用强大的加密算法进行攻击。它具有要锁定的扩展的内置目标列表。

  • 后备
  • 档案
  • 资料库
  • 图片
  • 音乐
  • 影片

VegaLocker目标文件扩展名列表

如果您认为自己具有可以避免加密的重要文件,那就错了。勒索软件的目标列表很多。






.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

VegaLocker勒索软件文件以其攻击为目标

一旦感染锁定了您的数据,它就会要求赎金。 VegaLocker在您的桌面以及每个受影响的文件夹中留下了赎金记录。这是一个文本文件,称为“关于您的文件.TXT”或“您的文件现已加密。txt”。

https://sensorstechforum.com/wp-content/uploads/2019/02/vegalocker-ransomware-image-senesorstechforum-com.jpg

VegaLocker的赎金记录,来源:sensorstechforum.com。

赎金通知的文字如下:




ВНИМАНИЕ,ВАШИФАЙЛЫЗАШИФРОВАНЫ!
Вашидокументы,фотографии,базыданных,сохранениявиграхидругие
важныеданныебылизашифрованыуникальнымключем,которыйнаходится
толькоунас。 Длявосстановленияданныхнеобходимдешифровщик。
ВосстановитьфайлыВыможете,написавнамнапочту:
*电子邮件:sup24@keemail.me,sup24@rape.lol
*резервный电子邮件:sup24@protonmail.ch,voprosi24@protonmail.ch
ПришлитеВашидентификаторTOKENи1-2файла,размеромдо1Мбкаждый。
Мыихвосстановим,在доказательствовозможностирасшифровки。
Последемонстрациивыполучитеинструкциюпооплате,以及послеоплаты
Вамбудетотправленапрограмма-дешифратор,котораяполностьювосстановит
请使用файлыбезпотерь。
Еслисвязатьсячерезпочтунеполучается:

*Перейдитепоссылке:hxxps://bitmessage.org/wiki/Main_Page和скачайте
почтовыйклиент。 Установитепочтовыйклиентисоздайтесебеновыйадрес
дляотправкисообщений。
*Напишитенамписьмонаадрес:BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(суказаниемВашейпочты)имысвяжемсясВами。
ВАЖНО!
*Расшифровкагарантируется,еслиВысвяжетесьснамивттечении72часов。
*ВыключениеилиперезагрузкакомпьютераможетпривестикпотереВашихфайлов。
*Непытайтесьудалитьпрограммуилизапускатьантивирусныесредства。
*ПопыткисамостоятельнойрасшифровкифайловприведуткпотереВашихданных。
*ДешифраторыдругихпользователейнесовместимысВашимиданными,
таккакукаждогопользователяуникальныйключшифрования。
Убедительнаяпросьбаписатьлюдям,которыедействительнозаинтересованы
ввосстановлениифайлов。 Неследуетугрожатьитребоватьдешифратор。
电子邮件,Валобамизаблокировав
файлыостальных。
----- BEGIN令牌-----
--
-----结束令牌-----

如您所见,该注释是俄语的。这暗示了勒索软件的创造者可能是俄罗斯血统,或者至少是说俄语的国家是他们的主要目标。

英文翻译如下:






注意,您的文件已加密!
您的文档,照片,数据库,游戏保存和其他重要数据已使用我们拥有的唯一密钥进行了加密。要还原数据,您需要一个解密器。
您可以通过向我们发送电子邮件来恢复文件:
电子邮件:sprosinas@cock.li
电子邮件:sprosinas2@protonmail.com
请向我们发送您的ID令牌和1-2个文件,大小不得超过1 MB。
我们将还原它们以证明存在可用的解密。
演示之后,您将收到付款说明,付款后,您将收到一个解密程序,该程序将完全还原文件而不会出现问题。
如果您无法通过电子邮件与我们联系:
转到站点:https://bitmessage.org/wiki/Main_Page并下载电子邮件客户端。运行电子邮件客户端并创建一个地址。
向我们发送电子邮件至:BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG(包括您的地址),我们将与您联系。

翻译来源:www.enigmasoftware.com。

网络勒索者指出,摆脱加密的唯一方法是使用唯一密钥。每个受害者都不同的密钥,该密钥存储在远程服务器上。因此,获得帮助的唯一方法是遵守,支付赎金,并希望这些人信守诺言并将其发送给您。但是您无法保证他们会这样做。毕竟,他们是恶意数据绑架者,勒索了您金钱。收到您的钱后,他们为什么会关心您?

VegaLocker要求的确切赎金数额尚未确定。要知道这一点,您必须通过电子邮件与黑客联系,然后黑客会将您的预期操作发送给您,并提供更详细的说明。您甚至有最后期限来增加决策压力。如果您在加密的前72小时内没有联系您,网络犯罪分子就会威胁要删除您唯一的解密密钥。安全专家建议不要这样做。不要伸出手,不遵守,也不要支付赎金。不要遵循他们的指示,因为您重新获得对数据的控制的机会很小,而浪费金钱,时间和精力处理这些数据的机会却很大。

February 13, 2020

发表评论