我只接受比特币！新的勒索软件“DeathRansom”命中

近日，一种名为“DeathRansom”的新型勒索软件开始广泛传播，勒索被指定为只接受比特币。

据安全研究人员称，勒索软件实际上已经开始传播，但实际上并没有加密受感染计算机上的文件——只需删除其附加的 .wctc 扩展名，文件就会恢复正常。

然而，这种情况在上个月 20 日发生了变化。受害者的文件实际上是加密的，DeathRansom 的数量开始爆炸式增长。

与其他勒索软件一样，DeathRansom 成功感染计算机后，会首先尝试删除卷影副本。

然后它将加密计算机上的所有文件，但包含以下字符串的文件除外：

此外，新的 DeathRansom 变体不再为加密文件附加扩展名，而是保留其原始名称。

图1.加密文件

识别文件是否已被 DeathRansom 加密的唯一方法是查看文件末尾是否标有“AB EF CD AB”。

图 2.识别标记

在每个加密文件所在的文件夹中，DeathRansom 会创建一个名为“read_me.txt”的赎金票据，当前赎金金额设置为 0.1 个比特币。

图 3. 赎金票据

安全研究人员表示交易比特币的软件，尚不清楚 DeathRansom 是如何传播的交易比特币的软件，但很可能是通过捆绑广告插件的软件安装程序（即从非官方渠道下载的“破解软件”）传播的。

这是因为发现许多被 DeathRansom 感染的受感染计算机之前曾感染过另一种名为“STOP”的勒索软件，STOP 正是通过这种勒索软件传播的。

此外，对DeathRansom的分析仍在进行中，是否会找到免费的解密方法尚不确定。