整個勒索軟體威脅資料洩露
在對新提交的惡意軟體樣本進行調查時,我們的研究人員發現了一個名為「Whole」的勒索軟體程式。我們確定它源自 Keylock 勒索軟體。該惡意軟體會對資料進行加密,並要求勒索贖金以換取解密資料。
在我們的測試中,「Whole」勒索軟體加密了文件,並在文件名稱中添加了「.whole」副檔名。例如,最初名為“1.jpg”的檔案將顯示為“1.jpg.whole”,“2.png”將顯示為“2.png.whole”。
加密過程完成後,桌面桌布發生更改,並產生標題為「README-ID-[victim's_ID].txt」的勒索字條。從本說明的內容可以明顯看出,該勒索軟體主要針對企業而非個人使用者。
「整個」桌面桌布上顯示的訊息指示受害者閱讀關聯的文字檔案(「README-ID-[victim's_ID].txt」)。此勒索字條解釋了受害者的檔案已被加密,並向他們保證其唯一的解密金鑰已安全地儲存在攻擊者的伺服器上。
透過向網路犯罪分子發送一些加密檔案(在某些準則內),可以免費測試復原情況。如果受害者在 3 天內沒有嘗試聯繫攻擊者,他們的敏感業務相關資料可能會被揭露或出售。
該訊息還包括警告,通知受害者重新命名或更改受影響的文件以及使用第三方恢復工具或防毒軟體可能會導致資料無法恢復。
整個勒索軟體留下了長篇大論
整個贖金字條全文如下:
您的文件已加密
您的文件已使用強大的加密演算法進行加密並被修改!
不用擔心您的唯一加密金鑰安全地儲存在我們的伺服器上,您的資料可以快速安全地解密。我們可以證明我們可以解密您的所有資料。請向我們發送 3 個不重要的小(~2mb)加密文件,這些文件隨機儲存在您的伺服器上。另請附上我們在每個資料夾中留下的檔案 README-ID-.txt。
我們將解密這些文件並將其發送給您作為證據。請注意,免費測試解密的文件不應包含有價值的資訊。如果您在 72 小時內不開始與我們對話,我們將被迫在公共領域發布您的文件。您的客戶和合作夥伴將收到有關資料外洩的通知。
這樣一來,你的名聲就會毀掉。如果您不做出反應,我們將被迫向感興趣的各方出售最重要的信息,例如資料庫和個人數據,以產生一些利潤。如果您想解決這種情況,請在信中附上此文件 README-ID-.txt 並寫信至所有這 2 個電子郵件地址:
pmmx@techmail.info
Wholekey@mailfence.com重要的!
我們建議您直接聯絡我們,以避免向代理商支付過高費用。
我們要求將您的郵件發送到我們所有的 2 個電子郵件地址,因為由於各種原因,您的電子郵件可能無法送達。
我們的郵件可能會被識別為垃圾郵件,因此請務必檢查垃圾郵件資料夾。
如果我們未在 24 小時內回覆您,請透過其他電子郵件地址給我們寫信。
請不要浪費時間,這只會為您的公司帶來額外的損失。
請不要重新命名並嘗試自行解密檔案。如果文件已修改,我們將無法為您提供協助。
如果您嘗試使用任何第三方軟體或防毒解決方案恢復數據,請備份所有加密檔案。
如果您從目前電腦中刪除任何加密文件,您可能無法解密它們。
勒索軟體如何進入您的系統?
勒索軟體可以透過各種方式滲透您的系統,了解這些入口點對於保護您的系統免受此類攻擊至關重要。以下是勒索軟體進入系統的常見方式:
- 電子郵件附件:網路釣魚電子郵件是勒索軟體分發的一種流行方法。網路犯罪分子會傳送看似合法的電子郵件,其中包含受感染的附件(例如 PDF、Word 文件或 ZIP 檔案)或惡意網站的連結。當用戶打開這些附件或點擊連結時,勒索軟體就會被下載並在他們的系統上執行。
- 惡意連結:勒索軟體也可以透過電子郵件、即時訊息或網站中的欺騙性或惡意連結傳播。點擊這些連結可能會導致勒索軟體的下載和執行。
- 惡意廣告:網路犯罪者可能會在合法網站上使用惡意廣告(惡意廣告)來傳播勒索軟體。只需造訪具有這些廣告的受感染網站即可觸發惡意軟體的自動下載。
- 利用漏洞:勒索軟體作者可以利用您的作業系統或應用程式中的軟體漏洞。如果您的系統沒有安裝最新的安全性修補程式,則可能容易受到基於漏洞的攻擊。
- 偷渡式下載:勒索軟體可以透過「偷渡式下載」傳播,使用者在造訪受感染或惡意網站時不知不覺地下載惡意程式碼。這些下載無需任何用戶互動或同意即可進行。
- 遠端桌面協定 (RDP) 攻擊:攻擊者可能會利用薄弱或預設的 RDP 憑證來存取遠端系統。一旦進入,他們就可以安裝勒索軟體並加密檔案。
- 軟體下載:從不信任或盜版來源下載軟體或檔案可能會使您的系統遭受勒索軟體的攻擊。非法軟體或破解版本通常帶有隱藏的惡意軟體負載。
