俄罗斯黑客通过大规模恶意广告活动传播VegaLocker勒索软件

vegalocker ransomware

VegaLocker被称为勒索软件威胁,于2019年2月11日首次发现,当时它进入网络并声称是其第一批网络受害者。当时,没有人能预料到这将是持续的威胁。随着一系列代码变体的诞生,恶意感染不仅得以幸存,而且还在蓬勃发展。到目前为止,由于使用了VegaLocker,Web用户受到了勒索软件威胁Jumper(Jamper), Buran和Zeppelin的攻击。这些感染归因于VegaLocker的代码。

原始威胁背后的网络罪犯不断对其进行修改,改进,为其赋予不同的名称,以便继续困扰互联网用户。由于进行了这些修改,事实证明,对于安全专家来说,VegaLocker勒索软件很难处理。一旦他们想出一种方法来对抗可怕的感染,它就会进行更新并“进化”,并继续感染一个系统。 VegaLocker不断变化并改进其代码。它正在不断地修改其性能。而且,每当恶意软件专家太接近解决威胁时,其背后的黑客都会进行更新和改进。并且,如果有需要,请重塑品牌。毕竟, 这就是Jumper(Jamper),Buran和Zeppelin成为的样子

VegaLocker的分析

勒索软件背后的黑客已使用Delphi语言对其进行了编程。这本身就为应对VegaLocker威胁提供了障碍–对该语言进行反向工程是很困难的。

感染是不同病毒的融合。它包含来自各种威胁的元素。例如,在VegaLocker代码中,发现了圣甲虫勒索软件系列的剩余代码。源代码与臭名昭著的感染共享,例如失忆症和Gloverabe2。该发现可能意味着两件事:创建威胁的同一个人使用相同的代码作为基础创建了VegaLocker,并计划自己使用它,或者他们将VegaLocker勒索软件制作为针对不同黑客的自定义命令。

VegaLocker是如何滑入您的系统的?

安全研究人员对威胁进行了分析,发现威胁始于安全旁路模块。该模块可确保在本地系统上扫描安全程序和引擎的任何迹象,任何可能阻止正常VegaLocker执行的迹象。

它寻找以下引擎的签名:






Habbo,Rebhip,Qt Company Ltd,Microsoft Corporation,Delphi库,SMART INSTALL MAKER,InnoSetup,James Jackson-South,Microsoft Visual C / C ++库,libczmq3,Adobe Systems Incorporated,Mercury Interactive,NSIS,Splinterware软件解决方案和StockSharp LLC 。

如果发现它认为有问题的任何内容,则将其禁用或删除。完成第一步后,它将继续处理引导选项。 VegaLocker会重新配置操作系统的配置文件并进行配置,因此病毒文件会在计算机加电后立即启动。为了巩固对启动选项的控制,它禁用对恢复启动选项和菜单的访问。这阻碍了用户尝试手动恢复指南。

VegaLocker不仅会因禁用访问而停止。它还会从系统中删除关键数据。它针对操作系统使用的数据-备份,系统还原点,卷影副本。 VegaLocker彻底清除了它认为可能对其攻击构成障碍的所有内容。

臭名昭著的感染不惜一切代价逃避检测-有时甚至以自我删除为代价。勒索软件遵循编程规避虚拟机主机。怎么样?它会定期监视计算机的运行过程,寻找与虚拟机管理程序或来宾添加有关的字符串的迹象。如果发现任何内容,它将停止,甚至将其自身从计算机中删除。

VegaLocker不仅可以加密您的数据,甚至还可以提取它!它可以获取个人和财务信息,然后将其用于恶意目的-身份盗用,财务滥用,勒索。勒索软件还混入了各种系统设置。它会修改Windows注册表,并为其自身创建条目或修改已经存在的条目。这种干预会导致系统性能下降。您会遇到滞后,错误,警告和警报弹出窗口。勒索软件通常会导致系统性能严重问题。这样,只要感染仍然存在,您的计算机就几乎无法使用。

vegalocker勒索软件文字说明
VegaLocker Ransomware勒索注释文本文件的图像

VegaLocker对受感染系统的干预相当广泛。勒索软件引擎搜索活动的远程桌面配置服务。如果已经制作了一个这样的文件,勒索软件将对其进行访问并进行编辑。它添加了凭据,供黑客使用。这不是所有勒索软件威胁所采取的步骤。只有诸如VegaLocker之类的高级工具才知道这样做并加以利用。他们可以在您的计算机上安装更多恶意威胁,如特洛伊木马。或者,他们甚至可以在您的机器上允许使用加密货币矿工,不仅勒索您钱财,而且还利用计算机资源赚钱。矿工可以以多种形式出现,例如附加到其他文件的代码或独立的应用程序。一旦执行或颁布,您将感受到其逗留的后果。它将对内存,CPU或GPU以及硬盘空间等组件造成损失。

安全专家推断,VegaLocker的主要分发技术涉及使用恶意广告活动。这是用最少的精力进行大规模分配的最简单方法 。感染背后的黑客释放了许多恶意垃圾邮件,这些电子邮件包含要求您单击的链接或受邀下载的附件。如果您不喜欢这些策略,那么您最终将面临令人讨厌的网络威胁。

自然,勒索软件可以采用多种入侵方法。它也可以通过受感染的应用程序安装程序潜入。网络犯罪分子选择流行的软件,该软件会引起用户大量下载。然后,他们将安装脚本嵌入到该软件的安装文件中。他们通过从软件供应商处获取原始文件,然后进行恶意添加来解决这一难题。

渗透的另一个可行选择是通过受感染的文档-电子表格,演示文稿,数据库等。勒索软件的安装代码成为插入其中的宏的一部分。然后,打开文档后,会弹出一条消息,要求将其启用。如果这样做,您将可以使用VegaLocker勒索软件。

VegaLocker还可以通过伪造的用户个人资料来阻止其进入。随着社交媒体的不断使用,这被证明是一种有效的侵入性方法。社区论坛上的帖子,直接发送给大众的消息以及用于此的个人资料可能是伪造的,也可能是被黑客入侵的真实个人资料。当您在屏幕上看到带有“单击它”消息的链接时,请务必小心。警惕是您的朋友。

VegaLocker入侵后会发生什么?

一旦勒索软件进入您的系统,它就会发出攻击。它使用强大的加密算法进行攻击。它具有要锁定的扩展的内置目标列表。

  • 后备
  • 档案
  • 资料库
  • 图片
  • 音乐
  • 影片

VegaLocker目标文件扩展名列表

如果您认为自己具有可以避免加密的重要文件,那就错了。勒索软件的目标列表很多。






.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

VegaLocker勒索软件文件以其攻击为目标

一旦感染锁定了您的数据,它就会要求赎金。 VegaLocker在您的桌面以及每个受影响的文件夹中留下了赎金记录。这是一个文本文件,称为“关于您的文件.TXT”或“您的文件现已加密。txt”。

https://sensorstechforum.com/wp-content/uploads/2019/02/vegalocker-ransomware-image-senesorstechforum-com.jpg

VegaLocker的赎金记录,来源:sensorstechforum.com。

赎金通知的文字如下:




ВНИМАНИЕ,ВАШИФАЙЛЫЗАШИФРОВАНЫ!
Вашидокументы,фотографии,базыданных,сохранениявиграхидругие
важныеданныебылизашифрованыуникальнымключем,которыйнаходится
толькоунас。 Длявосстановленияданныхнеобходимдешифровщик。
ВосстановитьфайлыВыможете,написавнамнапочту:
*电子邮件:sup24@keemail.me,sup24@rape.lol
*резервный电子邮件:sup24@protonmail.ch,voprosi24@protonmail.ch
ПришлитеВашидентификаторTOKENи1-2файла,размеромдо1Мбкаждый。
Мыихвосстановим,在доказательствовозможностирасшифровки。
Последемонстрациивыполучитеинструкциюпооплате,以及послеоплаты
Вамбудетотправленапрограмма-дешифратор,котораяполностьювосстановит
请使用файлыбезпотерь。
Еслисвязатьсячерезпочтунеполучается:

*Перейдитепоссылке:hxxps://bitmessage.org/wiki/Main_Page和скачайте
почтовыйклиент。 Установитепочтовыйклиентисоздайтесебеновыйадрес
дляотправкисообщений。
*Напишитенамписьмонаадрес:BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(суказаниемВашейпочты)имысвяжемсясВами。
ВАЖНО!
*Расшифровкагарантируется,еслиВысвяжетесьснамивттечении72часов。
*ВыключениеилиперезагрузкакомпьютераможетпривестикпотереВашихфайлов。
*Непытайтесьудалитьпрограммуилизапускатьантивирусныесредства。
*ПопыткисамостоятельнойрасшифровкифайловприведуткпотереВашихданных。
*ДешифраторыдругихпользователейнесовместимысВашимиданными,
таккакукаждогопользователяуникальныйключшифрования。
Убедительнаяпросьбаписатьлюдям,которыедействительнозаинтересованы
ввосстановлениифайлов。 Неследуетугрожатьитребоватьдешифратор。
电子邮件,Валобамизаблокировав
файлыостальных。
----- BEGIN令牌-----
--
-----结束令牌-----

如您所见,该注释是俄语的。这暗示了勒索软件的创造者可能是俄罗斯血统,或者至少是说俄语的国家是他们的主要目标。

英文翻译如下:






注意,您的文件已加密!
您的文档,照片,数据库,游戏保存和其他重要数据已使用我们拥有的唯一密钥进行了加密。要还原数据,您需要一个解密器。
您可以通过向我们发送电子邮件来恢复文件:
电子邮件:sprosinas@cock.li
电子邮件:sprosinas2@protonmail.com
请向我们发送您的ID令牌和1-2个文件,大小不得超过1 MB。
我们将还原它们以证明存在可用的解密。
演示之后,您将收到付款说明,付款后,您将收到一个解密程序,该程序将完全还原文件而不会出现问题。
如果您无法通过电子邮件与我们联系:
转到站点:https://bitmessage.org/wiki/Main_Page并下载电子邮件客户端。运行电子邮件客户端并创建一个地址。
向我们发送电子邮件至:BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG(包括您的地址),我们将与您联系。

翻译来源:www.enigmasoftware.com。

网络勒索者指出,摆脱加密的唯一方法是使用唯一密钥。每个受害者都不同的密钥,该密钥存储在远程服务器上。因此,获得帮助的唯一方法是遵守,支付赎金,并希望这些人信守诺言并将其发送给您。但是您无法保证他们会这样做。毕竟,他们是恶意数据绑架者,勒索了您金钱。收到您的钱后,他们为什么会关心您?

VegaLocker要求的确切赎金数额尚未确定。要知道这一点,您必须通过电子邮件与黑客联系,然后黑客会将您的预期操作发送给您,并提供更详细的说明。您甚至有最后期限来增加决策压力。如果您在加密的前72小时内没有联系您,网络犯罪分子就会威胁要删除您唯一的解密密钥。安全专家建议不要这样做。不要伸出手,不遵守,也不要支付赎金。不要遵循他们的指示,因为您重新获得对数据的控制的机会很小,而浪费金钱,时间和精力处理这些数据的机会却很大。

February 13, 2020

Cyclonis云盘

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.