DeathRansom:勒索軟件通過加密殺死受感染PC上的文件
勒索軟件已成為計算機用戶和企業的全球性問題,近期威脅的受害者已將預算用於攻擊,以便他們可以支付所需的贖金並使計算機立即恢復工作狀態。勒索軟件威脅(例如DeathRansom)在尋求從受害者那裡勒索金錢方面更加複雜和無情,從而使他們無處可尋。
DeathRansom是一種勒索軟件威脅,它會加密您的數據並要求勒索以恢復數據。受害者報告說,他們被要求在特定時間範圍內以加密貨幣付款,如果不滿足,將導致完全數據丟失。但是,不建議您遵循這些要求,因為它們很可能無效,並且可能不僅導致您浪費金錢,而且使計算機處於感染其他威脅的危險中。
Table of Contents
DeathRansom會做什麼
對這種特定的勒索軟件威脅感到好奇的是,它沒有對受害者的文件進行加密……或者至少在一開始沒有加密。事實證明,DeathRansom勒索軟件的初始版本只是假裝對數據進行加密,並且受影響的用戶能夠使他們的文件再次可用。理想情況下,受害計算機用戶所要做的就是刪除每個文件的.wctc擴展名。此類編碼文件的示例為“ 1.docx.wctc”。
可悲的是,僅僅更改受DeathRansom影響的文件的文件擴展名已不再是解決方案。自從DeathRansom的受害者人數增加以來,該威脅改變了其策略,現在能夠加密其受害者的個人文件,但不包括.wctc擴展名。到目前為止,要確定DeathRansom勒索軟件是否已加密您的數據,唯一的方法是打開受影響的文件,並在加密結束時檢查標記。根據報告,文件標記應顯示為“ AB EF CD AB”。
這種惡意的DeathRansom威脅以Microsoft Windows用戶為目標。滲透後,該威脅會加密受害設備上的所有文件,但文件的完整路徑名包含以下字符串的文件除外:
- 程序數據
- $ recycle.bin
- 程序文件
- 視窗
- 所有用戶
- 應用程序數據
- read_me.txt
- autoexec.bat
- desktop.ini
- 自動運行
- ntuser.dat
- iconcache.db
- bootsect.bak
- 引導程序
- ntuser.dat.log
- thumbs.db
在文件加密過程之後,勒索軟件將在每個有加密數據的文件夾中創建一個文本文件(read_me.txt),這樣受害者就可以輕鬆地看到它。
贖金記錄
read_me.txt文件是DeathRansom的創建者留下的贖金記錄。如前所述,勒索軟件的“更新”版本現在能夠加密數據,但無需附加任何擴展名。贖金記錄似乎也做了些微改動。此消息通知用戶其文件已加密,如果不想永久刪除它們,則可以在12個小時內遵循給定的說明並以加密貨幣付款。
註釋包括一個個人LOCK-ID和您需要向其發送0.1 BTC的比特幣錢包的號碼。受害人被指示寫一封電子郵件到給定的地址,並包括LOCK-ID和付款時間。
有趣的是,他們提供免費解密您選擇的一個文件,以證明他們擁有解密工具並贏得了您的信任。除了指定的時間範圍和必須支付的金額外,贖金記錄中的新內容還包括將要發送的“測試文件”的指定規範。它一定要是:
- 不大於1MB
- .txt或.lnk文件,無數據庫
最後,贖金說明提供了您可以從中購買比特幣的來源。
勒索軟件如何傳播>
迄今為止,通過對惡意軟件計算機安全專家(例如GrujaRS)的研究發現,尚未發現此威脅使用的特定分發方法。它很可能像其他勒索軟件一樣傳播出去。這些方法包括:
- 欺騙性垃圾郵件
- 種子文件
- 惡意廣告
- 虛假更新消息
- 不可靠的第三方安裝
- 特洛伊木馬病毒
傳統上,很容易使計算機用戶被帶有誘人標題的電子郵件所誤導。此類垃圾郵件活動可能會嘗試用“您的銀行帳戶將被終止!!”之類的標題來嚇users用戶。計算機安全專家通常會警告計算機,不要急於打開您看到的每封電子郵件,或者主題行很誘人或似乎來自您的銀行或喜愛的社交媒體網站的電子郵件。在某些情況下,郵件可能偽裝成來自知名公司或最大的社交媒體網絡之一,例如Facebook或Twitter。最好檢查發件人的電子郵件,並將其與實際公司的官方地址進行比較。然後,您將確定該電子郵件是否合法。
惡意軟件研究人員通常建議僅從可信賴的來源獲取軟件更新,而不是單擊希望您跟隨黑幕鏈接的隨機彈出窗口。
眾所周知,用戶在安裝過程中會忽略基本細節。為確保計算機用戶不會意外地將惡意軟件與所需程序一起安裝,最好是他們尋找安裝程序中包含的其他軟件。眾所周知,惡意軟件會偽裝成可選程序,因此最好選擇不熟悉的安裝。
DeathRansom移除和數據恢復
即使DeathRansom的創建者敦促與他們聯繫並為他們的解密服務付費,也最好避免遵守他們的要求。相反,專家建議完全消除威脅。為此,建議使用可以安全地檢測和刪除DeathRansom的可靠軟件。
至於數據恢復,最好的選擇是依賴保存在雲數據庫或外部設備上的文件備份。除此之外,還可以從值得信賴的來源中找到高級解密工具,這些工具尤其適用於該勒索軟件。最主要的是,除了DeathRansom的開發人員可能解釋的內容以外,還有其他選擇。最好在決定如何做之前將其全部考慮,因為如果有人選擇遵守勒索軟件的要求,則不能保證將恢復所有加密文件。
