Pres 勒索軟體:來自 Dharma 家族的危險威脅
Table of Contents
了解 Pres 勒索軟體
Pres 勒索軟體是Dharma 勒索軟體家族中另一個威脅性的新成員。與前代產品一樣,Pres 會加密受害者的文件,並要求支付贖金才能恢復文件。該變體特別容易識別的原因在於它重命名加密檔案的方式。它將受害者的唯一 ID、聯絡電子郵件地址和「.pres」副檔名附加到每個檔案名稱。例如,原名為「document.pdf」的檔案加密後會顯示為「document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres」。
除了加密檔案之外,Pres 還會彈出勒索訊息,並在受感染的目錄中放置一個名為「info.txt」的文字檔案。該訊息告訴受害者他們的文件已被加密,並提供了透過電子郵件聯繫攻擊者的說明。受害者需要將其唯一 ID 發送到以下兩個電子郵件地址之一:helpreserve@onionmail.org 或 helpreserve@cyberfear.com。
攻擊者想要什麼
贖金單試圖顯得有幫助,甚至讓人放心。它聲稱可以恢復受害者的文件,並提供免費解密最多三個小型非敏感文件作為證明。但是,這些範例文件總計不得超過 3MB,且不能包含備份、資料庫或大型電子表格。該說明還警告說,重命名文件或使用第三方恢復工具可能會造成不可逆轉的損害。
攻擊者採用典型的心理操縱策略,建議不要讓第三方參與,聲稱這可能會提高贖金成本。這樣做的目的是孤立受害者並增加他們對攻擊者承諾的依賴——儘管付款後收不到任何解密工具的風險很高。
贖金通知的內容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Pres 和其他勒索軟體程式的工作原理
像 Pres 這樣的勒索軟體旨在透過使用強演算法加密來劫持用戶資料。一旦加密,檔案就無法使用,除非使用只有攻擊者擁有的唯一金鑰解密。受害者通常被迫做出艱難的選擇:支付贖金並希望攻擊者信守諾言,或嘗試以其他方式恢復。
Pres 勒索軟體並不僅限於加密檔案。它還會刪除卷影副本(Windows 用於備份),禁用防火牆以避免檢測,並嘗試透過將自身複製到系統中的隱藏位置並更改 Windows 登錄來保持持久性。這些策略旨在確保勒索軟體即使在系統重新啟動後也能運作並抵抗刪除努力。
支付贖金的風險
雖然支付贖金似乎是恢復的最快途徑,但這是一場沒有保證回報的賭博。攻擊者可能會拿走錢然後消失,或提供錯誤或部分的解密金鑰。此外,付款只會助長進一步的網路犯罪活動,並使勒索軟體更有利可圖,對攻擊者更具吸引力。
大多數情況下,如果沒有備份或官方解密工具,復原將極為困難。不幸的是,儲存在連接或受感染設備上的備份也可能受到損害。因此,有效的備份措施(例如將副本儲存在未插電的外部磁碟機或安全的雲端服務上)至關重要。
Pres勒索軟體如何傳播
Pres 勒索軟體感染通常是由於遠端桌面協定 (RDP)安全性薄弱造成的。網路犯罪分子經常利用暴力攻擊或字典攻擊來利用保護不力的 RDP 服務來獲取未經授權的存取。一旦進入,他們就會手動部署勒索軟體。
其他感染方法包括包含惡意附件或連結的網路釣魚電子郵件、來自不可信網站的驅動程式下載、捆綁惡意軟體的盜版軟體以及欺騙性廣告。使用者也可能透過 P2P 網路或虛假的軟體更新提示遭遇勒索軟體。該惡意軟體通常偽裝成合法程式或文檔,誘騙使用者啟動感染。
如何保持保護
預防 Pres 等勒索軟體首先要從智慧的線上行為和可靠的網路安全措施開始。避免從非官方網站下載軟體,避開盜版程式或金鑰產生器,並且切勿在不熟悉的 Office 文件中啟用巨集。對來自未知來源的電子郵件附件或連結要特別小心,即使它們看起來很緊急或重要。
定期更新您的作業系統和軟體以修補已知漏洞。使用具有即時保護功能的知名防毒工具。經常備份重要資料並將這些備份儲存在安全、斷開連接的位置。
最後的想法
Pres 勒索軟體是現代勒索軟體威脅變得多麼複雜和破壞性的另一個例子。它將技術隱身與社會操縱相結合,迫使受害者支付贖金,甚至可能無法恢復文件。透過保持警惕、遵循最佳網路安全實踐和維護安全備份,使用者和組織可以大大降低應對這些數位勒索計畫的風險。
