Cryptolocker可能已经死了并且被埋了,但是有一种新的恶意软件正在抢夺Ransomware的头衔。它叫TorrentLocker,肯定是邪恶的。
TorrentLocker据说是利用臭名昭著的CryptoLocker勒索软件和CryptoWall的功能。尽管是这些恶意软件程序的衍生产品,发现和分析它的安全研究人员iSIGHT Partners却将其视为一种全新的病毒。
iSIGHT Partners是位于达拉斯的一家备受尊敬的安全研究公司,在全球16个国家/地区设有办事处和员工。
受TorrentLocker攻击的消费者将发现他们的文件使用了牢固的,几乎牢不可破的加密方式加密,并且只能通过支付列出的赎金才能取回它们
好奇TorrentLocker为何如此特别邪恶?继续阅读。
熟悉的威胁
尽管TorrentLocker是完全不同的动物,但它如何借鉴CryptoLocker和CryptoWall的命名和美感却是它最吸引人的地方。一旦被感染,该恶意软件就会将自己标识为“ CryptoLocker"(我曾经将其称为“有史以来最讨厌的恶意软件"),并且将包含一个简短的问答,似乎已被CryptoWall完全抄袭了。
TorrentLocker的词源来自对Windows注册表“ HKCU \ Software \ Bit Torrent Application \"下的修改。但是,没有真正的证据表明TorrentLocker是通过文件共享协议和网络感染的。病毒的大多数安装似乎来自打开垃圾邮件附件的人。
与CryptoLocker一样,TorrentWall要求在澳大利亚提供赎金。结合选择的赎金货币,这表明该恶意软件是针对澳大利亚互联网用户的。
针对特定国家/地区的恶意软件并不是特别新。 Stuxnet的目标是伊朗的SCADA系统,而其他勒索软件则使用了英国严重有组织犯罪局(SOCA)和联邦调查局的名称和徽标。
尽管有什么新变化,以及它是如何工作的?
TorrentLocker看起来像Cryptolocker。像“密码锁"一样“嘎嘎"。但这不是CryptoLocker。确实,它在代码级别上有很大的不同,应该被认为是一种完全独特的恶意软件,而不是对Cryptolocker进行重新命名。
一旦TorrentLocker可执行文件已运行,它就会对资源管理器它包含TorrentLocker的大多数功能,包括用于与命令和控制服务器进行通信的代码,以及对系统上的文件进行加密。
该恶意软件在'%WINDOWS%/ %WOW64%'文件夹。该副本是随机命名的,这可能会使当时系统上运行的任何防病毒程序都感到困难。它还会同时执行自身的多个安装,有可能掩盖其行为。
除了创建自动运行密钥之外,Windows注册表中还放置了该恶意软件的另一个副本。如您所料,这将导致恶意软件在启动时启动。
要使恶意软件开始加密文件,它首先必须能够与命令和控制(C&C)服务器通信。它尝试建立与恶意软件中硬编码的IP地址的连接,然后对其进行身份验证。如果身份验证成功,则恶意软件将开始加密文件。有趣的是,勒索软件实际上并没有描述以这种方式支付赎金。
相反,受害者“购买"了解密文件所必需的软件。赎金页面用粗俗的英语书写,这表明TorrentWall背后的人不是说英语的人。
赎金页面还具有联系攻击者的形式狗狗币列出了比特币,感谢感激的受害者可以捐款。这是自愿的,尽管为什么有人会向勒索你的现金的人送礼物呢?这在我的理解范围之外。
如果被感染我该怎么办?
有点棘手。目前,除了支付赎金外,别无其他选择取回文件。但是,正如我们在CryptoLocker上看到的那样,当命令和控制服务器被接管并恢复了解密密钥的列表时,人们可能会取回他们的文件。
在此期间,请确保您备份了没有通过USB或网络共享持久连接到计算机的文件。此外,投资一些可靠的防病毒软件(不是Microsoft Security Essentials),并避免打开未经请求或可疑的电子邮件附件。
如果您确实被感染,建议您购买便宜的外部硬盘驱动器(或价格足够的硬盘)。宽敞的USB闪存驱动器)并复制您的加密文件。这样一来,您便有可能最终在日后恢复文件而无需支付赎金。然后鼓励您重新安装Windows(或尝试使用Linux –一个更加安全的操作系统–尝试)以永久删除恶意软件。
诱骗您支付赎金,尽管您应该这样做。请记住,只有那时,您才可以使攻击者在财务上值得这些勒索软件。
您被打中了吗?
标签:
