DJVU 系列的另一個新成員:Qual 勒索軟體
Table of Contents
什麼是優質勒索軟體?
Qual Ransomware 是一種惡意軟體變種,被識別為 Djvu 勒索軟體家族的一部分。 Qual Ransomware 展現了這個臭名昭著的網路威脅群體的典型特徵。啟動後,它會加密受害者的文件,並透過附加「.qual」副檔名來重新命名它們。例如,最初名為“picture.png”的檔案變成“picture.png.qual”,依此類推。加密過程完成後,勒索信將被放入名為「_readme.txt」的文字檔案中。
勒索信及其要求
Qual Ransomware 留下的勒索字條告知受害者,他們的重要文件(包括資料庫、文件和圖片)已被加密。為了恢復加密數據,受害者被指示從攻擊者那裡購買解密程式和金鑰。受害者可以透過向網路犯罪分子發送單一加密檔案來測試解密過程。攻擊者要求 999 美元的解密工具,但如果在 72 小時內聯繫,贖金將降至 499 美元。該說明明確警告不要向第三方尋求協助。
以下是註釋的正文:
勒索軟體程式如何運作
Qual 等勒索軟體程式的主要目的是透過加密受害者的資料並索取贖金來勒索受害者的金錢。 Qual Ransomware 屬於Djvu 家族,它採用多階段感染鏈來滲透設備。它在最終有效負載之前使用了幾個外殼代碼,這是資料加密階段。這些勒索軟體程式還使用循環等機制來延長其運行時間,並使用動態 API 解析來存取關鍵工具。另一種技術是進程空洞,它允許惡意軟體將自己偽裝成良性進程,從而減少檢測到的機會。
解密的挑戰
如果沒有攻擊者的解密金鑰,通常不可能解密受 Qual 等勒索軟體影響的檔案。只有在涉及嚴重缺陷的勒索軟體程式而無需攻擊者乾預的極少數情況下才會發生解密。即便如此,支付贖金並不能保證文件恢復,因為即使在付款後,網路犯罪分子通常也無法提供承諾的解密金鑰或軟體。專家強烈建議不要支付贖金,因為它支持和鼓勵犯罪活動。
防止進一步損壞
為了防止 Qual Ransomware 進一步加密數據,從作業系統中移除惡意軟體至關重要。但是,刪除勒索軟體不會恢復已加密的檔案。手邊唯一的解決方案是從備份中恢復它們,前提是備份是在感染之前製作的,並且與受感染的系統分開儲存。在多個安全位置(例如遠端伺服器或未插電的儲存設備)維護備份是確保資料安全的最佳實務。
常見勒索軟體分發方法
像 Qual 這樣的勒索軟體主要透過網路釣魚和社會工程技術傳播。它經常偽裝成合法軟體或媒體檔案或與合法軟體或媒體檔案捆綁在一起。這些檔案有多種格式,包括存檔(ZIP、RAR)、執行檔(.exe、.run)、文件(PDF、Microsoft Office、Microsoft OneNote)和 JavaScript。常見的分發方法包括後門或載入式木馬、偷渡式下載、垃圾郵件中的惡意附件或連結、惡意廣告、線上詐騙、可疑下載管道、非法軟體啟動工具和虛假更新。
警惕和安全做法
為了防範勒索軟體,在線上瀏覽和處理傳入的電子郵件和訊息時必須小心謹慎。應避免可疑或不相關的郵件,尤其是帶有附件或連結的郵件,因為它們可能有害或具有傳染性。所有下載應從官方且經過驗證的來源進行,並且應使用合法工具啟動和更新程式。從第三方來源取得軟體會增加惡意軟體感染的風險。
最後的想法
Qual 勒索軟體是一個重大威脅,突顯了 Djvu 勒索軟體家族帶來的危險。它對關鍵數據進行加密並索取贖金,使受害者陷入困境。然而,由於網路犯罪分子的不可靠性,不建議支付贖金。透過保持警惕、安全瀏覽實踐以及定期將備份儲存在安全位置來進行預防是防禦此類勒索軟體威脅的最佳方法。
