Ransomware在最近几年已经开始广泛存在了,目前为止已经对众多企业、金融机构、全球医院乃至个人都发起过攻击,而网络犯罪分子利用其赚了数百万美元。
在过去几个月,我们看到了一系列ransomware攻击,这其中包括WannaCry、Petya和LeakerLocker,这些都是通过关闭医院,汽车制造业,电信,银行等业务来完成的,因此给全球都造成了非常大范围的混乱。
在WannaCry和Petya之前,臭名昭著的Mamba全磁盘加密ransomware和Locky ransomware就已经在去年给全球造成了混乱,而这里有个坏消息是 – 他们又回来了,而且还带来了更具破坏性的变体。
暗黑破坏神6:Locky Ransomware的新变种
Locky首次出现是在2016年初,其至今为止一直都是全球分布最广的ransomware系列之一。
通过欺骗受害者点击恶意附件,Locky ransomware将会加密在计算机和网络上几乎所有的文件格式,直到攻击者收到Bitcoins支付的赎金后,才会将其进行解锁。
ransomware已经尝试做了很多次复出,其变体是通过Necurs僵尸网络和Dridex僵尸网络进行分发的。
这一次,安全研究人员发现了一个新的有关于该恶意软件活动的垃圾邮件,它主要针对世界各地的计算机,尤其是美国,其次是奥地利,分发着一种名为“暗黑破坏神6”的Locky新版本。
一个别名为Racco42的独立安全研究人员,首先发现了这一新的Locky变种,该变种加密了受感染计算机上的文件,并增加了.diablo6的文件扩展名。
像往常一样,ransomware变体包含一个Microsoft Word文件作为附件,当打开时,其会执行VBS Downloader脚本,然后尝试从远程文件服务器下载Locky Diablo6 payload。
然后,在欺骗受害者下载并安装Tor浏览器之前,ransomware会在受感染的计算机上使用RSA-2048密钥(AES CBC 256位加密算法)对文件进行加密。 然后再访问需要攻击的网站来进行进一步的指示和付款。
这个Locky Diablo6变体需要受害者支付0.49比特币(超过$ 2,079)来获取他们的文件。
然而,不幸的是,到目前为止研究人员还无法恢复由.Diablo 6扩展名加密的文件,所以用户在打开电子邮件附件时需要小心谨慎。
磁盘加密恶意软件——Mamba Ransomware的回归
Mamba是另一种强大而危险的ransomware,它可以对受影响计算机上的整个硬盘进行加密(而不是仅将文件加密),这样就会使系统完全无法使用,只有支付赎金一途。
其他ransomware攻击(包括Petya和WannaCry)也采用了类似的策略,但是Mamba ransomware是为企业和其他大型组织而设计的,而不是用来敲诈比特币。
去年年底,Mamba感染了旧金山交通局(MUNI)在感恩节的周末,以致于造成众多火车延误,最终,迫使政府官员下令关闭了一些车站售票机。
现在,卡巴斯基(Kaspersky)实验室的安全研究人员发现了一个新的关于该Ransomware的运动,主要针对分布在巴西和沙特阿拉伯国家的企业网络。
Mamba正在使用合法的开源Windows磁盘加密实用程序DiskCryptor来锁定目标组织中的计算机硬盘。 因为DiskCryptor使用的加密算法非常强大,以至于无法解密数据。
尽管到目前为止仍不清楚在早期Ransomware是如何进入企业网络的,但研究人员认为,像大多数ransomware的变体一样,Mamba可能会在受到攻击的恶意网站或通过电子邮件发送的恶意附件中使用漏洞套件。
该Ransomware的赎金是不会要求立即支付的,而是在被感染的电脑屏幕上,显示受害者的硬盘驱动器已被加密,并提供两个电子邮件地址和一个ID号码来使其获得恢复密钥。
如何保护自己免受Ransomware攻击的一些tips
在过去的几个月里爆发了几次广泛的ransomware,所以说, Ransomware现在已经成为个人和企业的最大威胁之一。
目前,没有解密器可用于解密Mamba和Locky锁定的数据,因此强烈建议用户遵循以下预防措施以保护自己免受攻击。
小心网络钓鱼邮件:要始终谨慎那些通过电子邮件发送的未经请求的文档(除非已经验证过来源),否则不要点击这些文档中的链接。
备份:要始终紧抓所有重要的文件和文档,请保持良好的备份例程,使其复制到外部存储设备,而不总是连接到您的PC。
保持您的防病毒软件和系统最新:始终保持防病毒软件和系统更新,以防止受到最新的威胁。
