新的勒索軟體DeathRansom開始聲名大噪
近日,一款新的勒索軟體問世-DeathRansom。這個勒索軟體一開始很不穩定,但是現在它的所有問題都已經解決,並已經開始感染受害者並加密他們的數據。
當DeathRansom第一次傳播時,它假裝對文件進行加密,但是研究人員和用戶發現,他們只需要刪除附加的.wctc擴展名,文件就可以再次使用。
不過,從11月20日左右開始,情況有所變化。
不僅受害者的文件真正被加密,而且在勒索軟體識別網站ID Ransomware上,有大量與DeathRansom有關的上傳。
Ransomware上載數據
儘管自最初的激增以來人數有所減少,但我們仍然看到新受害者不斷湧入,這意味著DeathRansom很可能正在進行活躍的傳播。不幸的是,到目前為止,我們還沒有發現這種勒索軟體是如何傳播的。
我們所知道的是,與其他勒索軟體一樣,當啟動DeathRansom時,它將嘗試清除卷影副本(shadow volume copies)。
然後,它將對受害人計算機上的所有文件進行加密,但找到的完整路徑名包含以下字元串的文件除外:
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
與以前的非加密版本不同,可以使用的DeathRansom變種不會在加密文件後附加擴展名,而僅保留其原始名稱。以下這些文件中的數據已加密。
加密文件
識別文件已由DeathRansom加密的唯一方法是通過ABEFCDAB附加在加密文件末尾的文件標記。
文件標記
在每個加密文件的文件夾中,勒索軟體都會創建一個名為read_me.txt的勒索便箋 ,其中包含受害者的唯一「 LOCK-ID」和用於聯繫勒索軟體開發人員或分支機構的電子郵件地址。
DeathRansom Ransom文本文檔
據了解,這種勒索軟體目前正在分析中,還不知道是否可以解密。
對於那些被感染並需要幫助的人,或者如果您知道DeathRansom的傳播方式,請在本文的評論或我們專用的DeathRansom幫助與支持主題中告知我們。
不過,比較奇怪的是,許多被DeathRansom感染的受害者也被STOP Ransomware感染。
這在Reddit帖子中以及ID-Ransomware的大量提交中可以看到,受害者在同一次提交中上載了DeathRansom勒索通知和STOP Djvu加密文件。
由於STOP僅通過廣告軟體捆綁包和破解程序進行傳播,因此DeathRansom很有可能是以類似的方式進行傳播的。
本文翻譯自:https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/
