勒索软件“极光/ 佐罗”正积极分发

勒索软件“极光/ 佐罗”正积极分发

自2018年夏开始,“极光”勒索软件的最新变种“佐罗”持续发酵,但目前还不知道该勒索软件是如何分发的,但有可能是通过暴露于互联网电脑的运行远程桌面服务进行安装的。攻击者会暴力破解RDP帐户密码,然后获取电脑访问权,进而安装了勒索软件。该勒索软件是由研究人员Michael Gillespie 和 Francesco Muroni 发现的。

支付赎金超 $12,000

由于该勒索软件受害者要支付的比特币地址相同,产生的金额也极易追查,其比特币地址为: 18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac,自9月末起已经完成105次交易。

勒索软件“极光/ 佐罗”正积极分发

2018年9月以来的比特币交易

该地址总计收到2.7个比特币,折合为当前价格值$12,000。

极光/佐罗勒索软件加密计算机的方法

安装后,该勒索软件会廉洁到一个C2服务器,接收数据和用于加密感染者文件的加密密钥。其会连接到http://www.geoplugin.net/php.gp,基于IP地址来确定感染者所在国家。可执行文件中所发现的“Russia”字符串,不会对该国家的感染者进行加密。勒索软件之后会扫描电脑寻找目标文件类型,如检测到匹配文件,便会对其进行加密。当前的目标文件扩展名有:

勒索软件“极光/ 佐罗”正积极分发

文件加密后,会将加密文件的扩展名改为.aurora,如:名为 test.jpg 的文件会被加密,而后重命名为test.jpg.aurora.

勒索软件“极光/ 佐罗”正积极分发

该勒索软件之前的变种对加密过的文件使用过.animus,.Aurora,.desu,和 .ONI等扩展名。加密文件时,勒索软件会在每个文件夹创建一个勒索通知,名为!GET_MY_FILES-!.txt, #RECOVERY-PC#.txt,和 @_RESTORE-FILES_@.txt等,还会包含支付赎金的说明,还包含一个点子邮件地址:oktropys@protonmail.com,感染者在支付赎金后可使用这个地址联系攻击者。

勒索软件“极光/ 佐罗”正积极分发

激光/佐罗勒索通知

最后,勒索软件会创建%UserProfile%wall.i 文件,其实是一个 jpg文件,在桌面设置成了壁纸。 该图片内容为打开勒索告示的指示。

勒索软件“极光/ 佐罗”正积极分发

极光/ 佐罗勒索软件壁纸

如何保护自己免受勒索软件之苦

为免受这个或任何勒索软件变种之苦,你要养成良好的上网和使用安全软件的习惯,一定要对自己的数据进行备份。由于该软件可通过攻击远程桌面服务进行安装,所以设置远程桌面密码是很重要的,包括确保运行远程桌面服务的电脑不直接连接互联网,而是将电脑在连接VPN后再运行远程桌面,这样其访问到的也只是你网络上的VPN帐户。另外,合理设置封锁政策,电脑可以免受被暴力破解的无妄之灾。

同时,也可以用安全软件配合行为检测,对抗勒索软件,而不是签名检测之类。例如,Emsisoft Anti-Malware 和 Malwarebytes Anti-Malware 都包含了行为检测,可以防止勒索软件加密计算机。

最后,要保证良好的在线习惯。遵循以下几点:

备份!

不知道发送者是谁的附件千万别打开。

确信发送人发送后再打开附件。

扫描附件。

时时更新Windows,更新所有程序,尤其是Java, Flash和Adobe阅读器。旧版本程序存在安全漏洞,经常被恶意软件分发者利用。

安装安全软件。

使用硬密码,同一密码不重复使用。

如果你在用远程桌面服务,不要直接连接互联网,通过VPN进行访问。

拖鞋指标(IOCs)

哈希:

SHA256: e8e995787549117aacb30b3d4896c058a8bfc8d0aab312b726d34e6ab85d819d

相关文件:

!-GET_MY_FILES-!.txt

#RECOVERY-PC#.txt

@_RESTORE-FILES_@.txt

%UserProfile%wall.i

相关电子邮件地址:

anastacialove21@mail.com

anonimus.mr@yahoo.com

big.fish@vfemail.net

enco@cock.email

enco@cock.email

hellstaff@india.com

j0ra@protonmail.com

ochennado@tutanota.com

oktropys@protonmail.com

UnlockAlexKingman@protonmail.com

已知加密文件扩展名:

.animus

.Aurora

.desu

.ONI

.aurora

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132838.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code