“大頭”勒索軟件三宗罪:偽裝Windows更新、勒索、開后門

  • 人閱讀
  • 2023-07-27 15:10:42

  • 來源:界面新聞

  • 相關(guān)關(guān)鍵詞

近日,瑞星威脅情報(bào)中心捕獲一個名為“大頭”的勒索軟件,該勒索軟件不僅會加密用戶磁盤文件,還會安裝開源的竊密程序,進(jìn)行文件竊取、圖片截屏、目錄檢索、上傳或下載文件等惡意行為?,F(xiàn)瑞星發(fā)布“大頭”勒索軟件獨(dú)家免費(fèi)解密工具,以幫助被加密用戶解密受害文件。(下載地址:http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe)

圖:“大頭”勒索軟件解密工具

偽裝成Windows更新或Word安裝程序加密文件

瑞星安全專家介紹,“大頭”勒索軟件最早發(fā)現(xiàn)自2023年5月,該勒索軟件使用.NET編寫,結(jié)合了Power Shell腳本來共同完成攻擊,至今已出現(xiàn)多個變種。通過分析發(fā)現(xiàn),“大頭”勒索軟件疑似偽裝成虛假的Windows更新或Word安裝程序,誘導(dǎo)受害者下載并進(jìn)行傳播。其啟動后會遍歷所有磁盤,修改受害者屏幕壁紙,并釋放勒索信,加密特定文件,在加密完成后彈出Windows PowerShell憑證請求,提示受害者如果需要解密,可通過郵箱聯(lián)系。

圖:“大頭”勒索軟件加密后釋放的勒索信

圖:被勒索軟件修改后的屏幕壁紙

下載后門程序竊取數(shù)據(jù)

值得注意的是,“大頭”勒索軟件在進(jìn)行加密的同時,還會在受害者電腦上下載并安裝開源的竊密后門軟件——WorldWind Stealer。該后門軟件常被用于進(jìn)行文件和數(shù)據(jù)資料的竊取,會收集受害者電腦內(nèi)文件、圖片、音頻、主機(jī)軟硬件版本、瀏覽器等各類信息,回傳給攻擊者。

在《2022年中國網(wǎng)絡(luò)安全報(bào)告》中,瑞星安全專家就已對未來勒索軟件進(jìn)行過預(yù)測分析:勒索攻擊者為了更好地保障自身利益,在攻擊過程中會將數(shù)據(jù)竊取作為輔助手段,一旦勒索不成功,便可以通過售賣數(shù)據(jù)以牟取利益。

獨(dú)家解密工具:

由于“大頭”勒索軟件使用了開源對稱算法的文件加密程序,因此經(jīng)過瑞星安全專家的技術(shù)分析發(fā)現(xiàn),被加密的文件是能夠進(jìn)行解密恢復(fù)的。同時瑞星發(fā)布免費(fèi)解密工具,具體使用方法如下:

圖:“大頭”勒索軟件解密工具

第一步,點(diǎn)擊【選擇路徑】按鈕,找到要解密的文件夾目錄隨后點(diǎn)擊確定。

此時中間的文本框中將會展示要解密的文件夾路徑。

第二步,點(diǎn)擊【開始解密】按鈕,對文件夾內(nèi)被加密的文件進(jìn)行解密,解密完成時提示完成解密的文件數(shù)量。

解密不會刪除原始文件,完成解密后的文件將恢復(fù)原本的后綴格式。

解密前后數(shù)據(jù)效果展示:

預(yù)防措施:

由于勒索軟件不再只是進(jìn)行加密勒索攻擊,而趨于竊取、售賣數(shù)據(jù)獲利,因此無論是個人還是企業(yè)用戶,都應(yīng)提高警惕,加強(qiáng)防范。

部署網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。

網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報(bào)追溯威脅行為軌跡,幫助用戶進(jìn)行威脅行為分析、定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網(wǎng)絡(luò)威脅,最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn),幫助企業(yè)更快響應(yīng)和處理。

安裝有效的殺毒軟件,攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒,如果用戶不小心下載了惡意文件,殺毒軟件可攔截查殺,阻止病毒運(yùn)行,保護(hù)用戶的終端安全。目前,瑞星旗下產(chǎn)品已可查殺“大頭”勒索軟件和相關(guān)竊密程序,廣大用戶可安裝使用。

圖:瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺勒索軟件與竊密程序

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )