近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。
当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。
不过,从11月20日左右开始,情况有所变化。
不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。
Ransomware上载数据
尽管自最初的激增以来人数有所减少,但我们仍然看到新受害者不断涌入,这意味着DeathRansom很可能正在进行活跃的传播。不幸的是,到目前为止,我们还没有发现这种勒索软件是如何传播的。
我们所知道的是,与其他勒索软件一样,当启动DeathRansom时,它将尝试清除卷影副本(shadow volume copies)。
然后,它将对受害人计算机上的所有文件进行加密,但找到的完整路径名包含以下字符串的文件除外:
programdata $recycle.bin program files windows all users appdata read_me.txt autoexec.bat desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db
与以前的非加密版本不同,可以使用的DeathRansom变种不会在加密文件后附加扩展名,而仅保留其原始名称。以下这些文件中的数据已加密。
加密文件
识别文件已由DeathRansom加密的唯一方法是通过ABEFCDAB附加在加密文件末尾的文件标记。
文件标记
在每个加密文件的文件夹中,勒索软件都会创建一个名为read_me.txt的勒索便笺 ,其中包含受害者的唯一“ LOCK-ID”和用于联系勒索软件开发人员或分支机构的电子邮件地址。
DeathRansom Ransom文本文档
据了解,这种勒索软件目前正在分析中,还不知道是否可以解密。
对于那些被感染并需要帮助的人,或者如果您知道DeathRansom的传播方式,请在本文的评论或我们专用的DeathRansom帮助与支持主题中告知我们。
不过,比较奇怪的是,许多被DeathRansom感染的受害者也被STOP Ransomware感染。
这在Reddit帖子中以及ID-Ransomware的大量提交中可以看到,受害者在同一次提交中上载了DeathRansom勒索通知和STOP Djvu加密文件。
由于STOP仅通过广告软件捆绑包和破解程序进行传播,因此DeathRansom很有可能是以类似的方式进行传播的。
本文翻译自:https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/如若转载,请注明原文地址: https://www.4hou.com/typ/21835.html