我只接受比特币!新的勒索软件“DeathRansom”命中
imtoken正版 2023-09-13 05:08:39
近日,一种名为“DeathRansom”的新型勒索软件开始广泛传播,勒索被指定为只接受比特币。
据安全研究人员称,勒索软件实际上已经开始传播,但实际上并没有加密受感染计算机上的文件——只需删除其附加的 .wctc 扩展名,文件就会恢复正常。
然而,这种情况在上个月 20 日发生了变化。受害者的文件实际上是加密的,DeathRansom 的数量开始爆炸式增长。
与其他勒索软件一样,DeathRansom 成功感染计算机后,会首先尝试删除卷影副本。
然后它将加密计算机上的所有文件,但包含以下字符串的文件除外:
此外,新的 DeathRansom 变体不再为加密文件附加扩展名,而是保留其原始名称。
图1.加密文件
识别文件是否已被 DeathRansom 加密的唯一方法是查看文件末尾是否标有“AB EF CD AB”。
图 2.识别标记
在每个加密文件所在的文件夹中,DeathRansom 会创建一个名为“read_me.txt”的赎金票据,当前赎金金额设置为 0.1 个比特币。
图 3. 赎金票据
安全研究人员表示交易比特币的软件,尚不清楚 DeathRansom 是如何传播的交易比特币的软件,但很可能是通过捆绑广告插件的软件安装程序(即从非官方渠道下载的“破解软件”)传播的。
这是因为发现许多被 DeathRansom 感染的受感染计算机之前曾感染过另一种名为“STOP”的勒索软件,STOP 正是通过这种勒索软件传播的。
此外,对DeathRansom的分析仍在进行中,是否会找到免费的解密方法尚不确定。