新型勒索软件——勒索者索要受害者远程用户名和密码用于远程登录解密文件

最近网络上发现一种行为异常的名为CommonRansom的新型勒索软件。为了在受害者付款后解密计算机，勒索者要求受害者在受影响的计算机上打开远程桌面服务，并向勒索者发送管理权限的用户名密码，以方便他们连接上机器来解密受害者的文件。

在一名受害者将勒索信息和加密文件上传到勒索软件分析服务器后，CommonRansom被迈克尔·吉莱斯皮(Michael Gillespie)发现。

当加密受害者的电脑文件时，它会给所有被加密文件附加.[old@nuke.africa].CommonRansom的扩展名。另外它还将创建一个名为DECRYPTING.txt的勒索信息文件，如下图所示。

在这个勒索信息的奇怪要求中，攻击者首先告诉受害者支付0.1比特币，然后发送一封电子邮件给old@nuke.africa，邮件包含以下信息:

1.受害者ID

2.被感染机器的[IP地址]:端口(rdp)

3.用户名以及具有管理员权限的密码

4.往这个比特币钱包上支付0.1比特币的时间，钱包地址：35m1zjhtati4iduufzena75ibyjoq9ibgf

以上操作是任何受害者都不应该执行的，因为一旦攻击者连接过来，您就无法访问您的屏幕，也不知道他们在做什么。他们可能会解密你的文件，但同时他们也可能在你的电脑上安装更多的恶意软件，删除文件或窃取数据。

虽然到目前为止，我们还没有找到真正的勒索软件的样本，但我们看到的一份勒索信息是使用35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF比特币地址，该地址出现过一些交易行为。

比特币交易信息

特别有趣的是，有65个比特币从这个地址发送到1cncfvutfqf11qnebepk29rrxfnf75r9n比特币地址，该地址已经接收了超过11000个比特币。这个1cncfvutfqf11qnebepk29rrxfnf75r9n地址可以起到混淆视线的效果，使执法部门更难追踪这些比特币。

原文链接：https://www.bleepingcomputer.com/news/security/commonransom-ransomware-demands-rdp-access-to-decrypt-files/