新型勒索软件——勒索者索要受害者远程用户名和密码用于远程登录解密文件

iso60001  2244天前

最近网络上发现一种行为异常的名为CommonRansom的新型勒索软件。为了在受害者付款后解密计算机,勒索者要求受害者在受影响的计算机上打开远程桌面服务,并向勒索者发送管理权限的用户名密码,以方便他们连接上机器来解密受害者的文件。

在一名受害者将勒索信息和加密文件上传到勒索软件分析服务器后,CommonRansom被迈克尔·吉莱斯皮(Michael Gillespie)发现。

当加密受害者的电脑文件时,它会给所有被加密文件附加.[old@nuke.africa].CommonRansom的扩展名。另外它还将创建一个名为DECRYPTING.txt的勒索信息文件,如下图所示。

22.jpg

在这个勒索信息的奇怪要求中,攻击者首先告诉受害者支付0.1比特币,然后发送一封电子邮件给old@nuke.africa,邮件包含以下信息:

1.受害者ID

2.被感染机器的[IP地址]:端口(rdp)

3.用户名以及具有管理员权限的密码

4.往这个比特币钱包上支付0.1比特币的时间,钱包地址:35m1zjhtati4iduufzena75ibyjoq9ibgf

以上操作是任何受害者都不应该执行的,因为一旦攻击者连接过来,您就无法访问您的屏幕,也不知道他们在做什么。他们可能会解密你的文件,但同时他们也可能在你的电脑上安装更多的恶意软件,删除文件或窃取数据。

虽然到目前为止,我们还没有找到真正的勒索软件的样本,但我们看到的一份勒索信息是使用35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF比特币地址,该地址出现过一些交易行为。

33.jpg

比特币交易信息

特别有趣的是,有65个比特币从这个地址发送到1cncfvutfqf11qnebepk29rrxfnf75r9n比特币地址,该地址已经接收了超过11000个比特币。这个1cncfvutfqf11qnebepk29rrxfnf75r9n地址可以起到混淆视线的效果,使执法部门更难追踪这些比特币。

原文链接:https://www.bleepingcomputer.com/news/security/commonransom-ransomware-demands-rdp-access-to-decrypt-files/

最新评论

昵称
邮箱
提交评论