新的勒索软件DeathRansom开始声名大噪

QueenB 勒索软件 2019年12月1日发布
Favorite收藏

导语:近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。

skull-ransom-encrypt.jpg

近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。

当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。

不过,从11月20日左右开始,情况有所变化。

不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。

chart.jpg

Ransomware上载数据

尽管自最初的激增以来人数有所减少,但我们仍然看到新受害者不断涌入,这意味着DeathRansom很可能正在进行活跃的传播。不幸的是,到目前为止,我们还没有发现这种勒索软件是如何传播的。

我们所知道的是,与其他勒索软件一样,当启动DeathRansom时,它将尝试清除卷影副本(shadow volume copies)。

然后,它将对受害人计算机上的所有文件进行加密,但找到的完整路径名包含以下字符串的文件除外:

programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

与以前的非加密版本不同,可以使用的DeathRansom变种不会在加密文件后附加扩展名,而仅保留其原始名称。以下这些文件中的数据已加密。

hex-edit.jpg

加密文件

识别文件已由DeathRansom加密的唯一方法是通过ABEFCDAB附加在加密文件末尾的文件标记。

file-marker.jpg

文件标记

在每个加密文件的文件夹中,勒索软件都会创建一个名为read_me.txt的勒索便笺 ,其中包含受害者的唯一“ LOCK-ID”和用于联系勒索软件开发人员或分支机构的电子邮件地址。

ransom-note.jpg

DeathRansom Ransom文本文档

据了解,这种勒索软件目前正在分析中,还不知道是否可以解密。

对于那些被感染并需要帮助的人,或者如果您知道DeathRansom的传播方式,请在本文的评论或我们专用的DeathRansom帮助与支持主题中告知我们。

不过,比较奇怪的是,许多被DeathRansom感染的受害者也被STOP Ransomware感染。

这在Reddit帖子中以及ID-Ransomware的大量提交中可以看到,受害者在同一次提交中上载了DeathRansom勒索通知和STOP Djvu加密文件。

由于STOP仅通过广告软件捆绑包和破解程序进行传播,因此DeathRansom很有可能是以类似的方式进行传播的。

本文翻译自:https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/如若转载,请注明原文地址: https://www.4hou.com/typ/21835.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论