交了赎金还被“撕票”?这勒索病毒不讲究
2019-08-11 15:30:14  出处:太平洋电脑网  作者:卡夫卡 编辑:岛叔     评论(0)点击可以复制本篇文章的标题和链接

按照常理,当我们交付赎金后,被加密的文章就会被解密归还受害者,然而有这么一种恶意软件,不仅会破坏电脑上的文件,还将自己伪装成勒索软件向受害者索要赎金,后者在支付赎金后却什么也得不到。可以说,非常不讲江湖‘道义’了。

这款不讲究的恶意软件叫GermanWiper,是一种伪装成勒索软件的数据清除软件(没错,支付赎金也拿不回数据),上周多家德国公司收到了一封含有这个新型恶意软件链接的钓鱼邮件,这些垃圾邮件假装是由提交简历的Lena Kretschmer求职者发送的电子邮件,其攻击目标多位于德国境内。

这些消息的主题是“Ihr Stellenangebot - Bewerbung [你的工作机会 - 申请] - Lena Kretschmer”并有一个标题为“Unterlagen_Lena_Kretschmer.zip”的附件。

交了赎金还被“撕票”?这勒索病毒不讲究

附件中的存档包含假定为发件人的PDF简历的两个文件,而实际上它们是执行PowerShell命令以从中下载HTA文件的快捷方式(LNK)expandingdelegation[。]顶级站点并在受害者计算机上执行它。

HTA将下载勒索软件可执行文件并将其保存到C:\Users\Public文件夹,并作为具有由三个字母组成文件名的可执行文件,然后启动GermanWiper。一旦系统被感染,GermanWiper会删除文件并留下赎金请求支付BTC 0.15038835。现实情况是,恶意软件只是用零和一个覆盖文件的内容。

下面这张图显示了GermanWiper向ID Ransomware服务提交的数量,表明活动仍在进行中。

交了赎金还被“撕票”?这勒索病毒不讲究

此外,安全专家发布了有关GermanWiper的几个细节。当恶意软件启动时,它会尝试终止与任何软件相关的进程(即notepad.exe,mysql.exe,oracle.exe)可以锁定要加密的文件。

GermanWiper会跳过对Windows正常工作至关重要的文件,它会在已删除文件的文件名后附加一个随机的5个字符的扩展名,以诱使受害者相信它们已被勒索软件加密。完成删除过程后,GermanWiper还会删除卷影卷副本并禁用Windows自动启动修复。

安全专家们还注意到,GermanWiper与Sodinokibi勒索软件的变种有一些相似之处,该变种涉及最近冒充BSI的垃圾邮件活动。此外,在GermanWiper攻击中观察到Sodinokibi使用的相同传递方法(伪装成PDF的恶意快捷方式文件,以及使用HTA提取和部署恶意软件)。

交了赎金还被“撕票”?这勒索病毒不讲究

- THE END -

#勒索病毒

原文链接:太平洋电脑网 责任编辑:

文章价值打分
当前文章打分0 分,共有0人打分
文章观点支持

+0
+0

  • 关注我们

驱动之家 关注驱动之家 微信公众号,每日及时查 看最新手机、电脑、汽车、智能硬件信息
  • 微博

    微博:快科技官方

    快科技(原驱动之家)官方微博
  • 今日头条

    今日头条:快科技

    带来硬件软件、手机数码最快资讯!
  • 抖音

    抖音:快科技mydrivers

    科技快讯、手机开箱、产品体验、应用推荐...