星际迷航主题勒索软件涌现，要求使用Monero加密货币付款

近日，安全研究人员发现，一款以星际迷航为主题的勒索软件变种正在针对625种不同的文件类型发起攻击，并要求使用数字货币Monero付款。

该威胁称为“Kirk”，配套的解密器称为“Spock”，据悉，这两个名称属于星际迷航系列的两个角色名。Avast恶意软件研究员Jakub Kroustek发现，这一款新的勒索软件变种是用Python编写的，它可能是同类威胁中率先使用Monero（门罗币）作为付款货币的。因为典型的勒索软件通常会要求以比特币或MoneyPak作为付款，以解锁文件。

Monero是一个注重隐私的货币，旨在成为行业中交易方面最私密的货币之一。它使用一种叫做“环签名”的技术，这个技术会把交易复制到多个用户，让他们都显示有效。这样的话，追踪货币的来源就会变得极其困难。比起其它货币，门罗币的一大优势是他们的开发团队（门罗币研究实验室），其中有一位成员是密码专家——这必然能给这个货币带来优点。除此之外，去年夏天，门罗币开始被Alphabay和Oasis所采用，两者都是在线暗网市场。这个消息大大地提升了门罗币的价值。

然而，正如BleepingComputer的Lawrence Abrams所说，Kirk勒索软件可能是第一个使用Monero作为付款货币的威胁。大多数勒索软件会选择比特币作为付款货币，这一变化可能会造成混乱局面。

Abrams表示，

虽然比特币的接受度越来越广，但是想要获取它们并不是容易的事。支付类型中引入这样一个新型的加密货币，受害者只会感到更加困惑，使支付赎金变得更加困难。

Kirk勒索软件的分销渠道目前尚不清楚，但是研究人员已经发现它可以伪装成一款称为“低轨道离子炮（Low Orbital Ion Cannon）”的网络压力测试应用程序。一旦执行，Kirk将生成一个AES密码，用于加密受害者的文件，随后通过嵌入式RSA-4096加密密钥进行加密，并将其保存在名为“pwd”的文件中，该文件与勒索软件可执行文件在相同的目录中。

只有攻击者能够解密该文件并显示加密AES密钥，此外，Kirk勒索软件还建议受害者要确保该文件不被删除。显然，攻击者要求该文件能够为受害者提供所需的解密器。

Kirk勒索软件会显示一个消息框“LOIC（低轨道离子炮）正在为您的系统初始化...”这可能需要一些时间。在后台，Kirk勒索软件会搜索硬盘驱动器中的文件并将其默默地加密。据报告，恶意软件会影响625种不同的文件类型，包括广泛使用的文件类型，例如.mp3、.docx、.zip、.jpeg以及.wma等。该勒索软件会加密它们，并将.kirk的扩展名附加到加密文件的名称中。

该恶意软件会在可执行文件的同一文件夹中放入赎金通知，并将其显示在桌面窗口中。该赎金通知书会指导受害者将价值1100美元的Monero发送到指定地址中。它将每隔几天重复一次，如果在第31天没有付款，解密密钥将被永久删除。付款后，受害人需要将pwd文件和付款交易ID发送到kirk.help@scryptmail.com或kirk.payments@scryptmail.com电子邮件地址上。

据悉，犯罪分子会在付款完成后，将Spock解密器发送给受害者。不幸的是，研究人员还没有计划分析该工具。Abrams表示，

到目前为止，没有任何方法来免费解密，也没有任何人受到这个勒索软件影响的报告。