勒索軟件勒索軟件要求提供裸照而不是比特幣

一個名為Ransomwared的勒索軟件家族最近一直在發布新聞,至少有兩個非常好的原因。一方面,它針對的是個人用戶,而不是大型組織,這在當今時代是不尋常的。但是,騙子提出的要求也許更值得注意。看起來不再是比特幣了。

關於最近的勒索軟件活動的細節不多

儘管似乎很多人都在談論新發現的勒索軟件樣本,但有關威脅的分佈和操作的實際細節在地面上還很薄。檢查過它的專家們對他們如何偶然發現它一無所獲。沒有用於誘騙受害者安裝勒索軟件的分發方法和社會工程的信息,我們只能猜測有多少人受到了攻擊。

我們確實知道的是,騙子們從來不想從目前的競選活動中賺錢。

騙子對用戶的文件進行加密並要求提供明確的圖片,以換取解密器

部署後,Ransomwared會對在受感染計算機上找到的文件進行加密,並在最新版本中附加.iwanttits文件擴展名。缺乏技術分析意味著我們無法確定Ransomwared所針對的文件,但是安全研究人員共享的屏幕快照表明,該文件僅加密在以下文件夾中找到的數據:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

與大多數這種類型的惡意軟件家族不同,勒索軟件沒有留下贖金記錄。相反,一旦準備好加密,它將顯示一個帶有以下消息的彈出窗口:

文件已加密。請告訴我您的山雀將其解密。

單擊確定按鈕將打開另一個窗口,該窗口顯示上述四個目錄中的文件已加密。有一個用於恢復密鑰的字段和第二條消息:

您被勒索了!要恢復文件,請給我們發送您的山雀郵件至:sashagrey@blurred.credit

Emsisoft的研究人員仔細研究了這些新樣品,他們正確地指出,騙子們忘了提到他們要尋找哪種山雀。專家建議,受害者可以選擇發送小歌手的照片,看看是否能滿足罪犯的願望,而不是將自己的裸體照片發送到以以前的色情明星命名的地址中,而是通過電子郵件發送。但是,由於使用Ransomwared加密的文件可以很容易地解密,因此甚至沒有必要。

恢復數據不需要涉及裸照

向受害者要求提供裸照以換取解鎖文件可能是勒索軟件運營商採用的相對較新的技術,但該惡意軟件本身並不是什麼新東西。在Google上的幾分鐘時間將告訴您,這種病毒最初是在2018年末進行的 ,儘管當時的要求更為傳統,但勒索軟件的操作卻幾乎相同。當他們第一次看到它時,安全研究人員分析了勒索軟件系列,並很快意識到它不是很高級。

Ransomwared的加密機制依賴於DES(數據加密標準的縮寫),它是1970年代開發的對稱密鑰加密算法。在最好的情況下,這是一個弱算法,最重要的是,對最近的勒索軟件樣本的技術分析顯示 ,用於解鎖人的文件的密鑰以純文本格式存儲在惡意軟件的源代碼中。

不過,您無需瀏覽代碼即可解密文件。本月初,Emsisoft發布了免費的解密工具 ,該工具可以解鎖由新版本和舊版本的Ransomwared加密的文件。

勒索軟件的受害者經常犯錯誤的想法,就是不顧後果而逃避槍支並屈從於騙子的要求。但是,正如您所看到的,通常只需花費幾分鐘的時間就可以為您節省一些加密硬幣,或者在這種情況下為您帶來很多尷尬。所述研究還可以使您了解備份的重要性。

February 14, 2020

發表評論