号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。
也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。
这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。
用户:???
软件特性
根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后黑客目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。
虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的样式。
当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别是_Decryption_ReadMe.html,_Decrypt_Files.html,_Help_Help_Help.html和_Help_Important.html。
这些赎金记录文档将会记录所有有关受害用户计算机上所发生的事件,包括赎金金额,以及他们所用的Tor网站链接信息等。用户可以在这些网站上给黑客留言或解锁3个不超过10MB的文件。
赎金票据中所使用的地址是:
- http://xbt4titax4pzza6w.onion/
- https://xbt4titax4pzza6w.onion.pet/
- https://xbt4titax4pzza6w.onion.to/
不同的票据对应不同的金额,具体则是取决于用户想要解锁单个文件还是整个计算机或者是整个网络。
例如,我们看到的赎金票据所显示的价格分别是3个比特币和7个比特币。并且还带有额外的注释,在被加密四天之后若仍未支付,赎金将会变为10000美元。
罗宾汉在关注你的隐私?
在勒索软件的支付页面上,RobbinHood的开发人员表示,他们一直在关注用户的隐私,并且在用户付款之后会删除相应的加密密钥和用户IP地址。
“有一件事我希望各位知道,您的隐私对我们来说非常重要,您的所有记录(包括IP地址和加密密钥)都会在您支付赎金后删除。此外,您的比特币支付地址也是专用的,不会有其他人知道,请放心。” |
然而,更有趣的是,他们告知受害者不必费力去举报他们,因为他们目前所处的境地隐秘且安全。
“不必向任何人提及我们的存在,我们的服务器没有任何关于网络数据和信息的事件。” |
简而言之,举报了也没用。
安全专家表示,这次看见勒索软件给用户提意见,还声明他们会保护受害者被软件感染的数据。他们还暗示受感染的企业可以支付赎金并且不会对外宣传他们遭受勒索的负面消息。
很神奇的操作。
罗宾汉的战利品
目前,被RobbinHood威胁的范围已覆盖了美国北卡罗来纳州格林维尔市的整个网络。
根据北卡罗来纳州新闻报道,该城市几日前被恶意软件RobbinHood袭击,在确定损失之后不得不关闭了整个城市的网络。随后联系了执法部门,当前多个机构正联合调查此次袭击事件。
“联邦调查局特工现在正在决定如何解决本次袭击事件。国家信息技术、国家紧急事务管理部门等多个部门都在处理此案。” |
不幸的是,格林维尔并不是仅有的城市。BleepingComputer和MalwareHunterTeam昨日联合发布了关于勒索软件的推文,表示一直在关注本次事件的受害者。另外,MalwareHunter表示这些受害者都还没有支付过赎金。
IOCs
关联文件名:
- _Decryption_ReadMe.html
- _Decrypt_Files.html
- _Help_Help_Help.html
- _Help_Important.html
赎金备注文本:
您的文件怎么了?
您的所有文件都被使用RSA-4096的方式加密了,详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA是现代计算机用于加密和解密数据的算法,是一种非对称加密算法。
不对称意味着有两个不同的键。因此也被称为是公钥加密,因为其中的任何一个密钥都可给别人:
- 我们使用“公钥”加密您的文件;
- 您可以使用特定的“私钥”来解密这些文件,您的私钥就在我们手中。(如果没有私钥,则无法恢复您的文件)
您的数据是否还拿的回来?
答案是肯定的。我们有一个包含所有私钥的解密工具。只需要按我们说的操作,就可以获取您的数据:
方案1
- 一:您必须为每个被加密的系统支付3个比特币;
- 第二步:回复我们您想要解锁的系统的主机名,随后等待确认并获得您的解密工具。
方案2
- 一:您必须向我们支付7个比特币来解锁被加密的所有系统;
- 第二步:通过留言告诉我们,并等待获取解密工具。
支付比特币的地址是:xxxxxxxxxxx
留言地址:http://xbt4titax4pzza6w.onion/xxxx/
备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/
https://xbt4titax4pzza6w.onion.to/xxxx/
请使用洋葱浏览器访问网址。
如果您无法访问链接,请按如下步骤操作:
- 一:下载洋葱浏览器:https://www.torproject.org/download/download.html.en;
- 第二步:运行浏览器并等待链接;
- 第三步:访问我们的网站并留言。
如果在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。
如果您想要确认我们是否真的拥有解密工具,您可以在网站上上传3个不超过10MB的文件,我们将会证明一切。
比特币哪里买?
最简单的方式是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”来获取更多渠道。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
企业分支正遭遇安全风险期
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 对于业务发展需要逐步扩大的企业来说,分支机构就是从总部延伸出的众多触角,深入到各个区域内。不过这些分支机构在安全防御却往往被忽略掉,变身为网络犯罪分子趁机非法进入企业的重要跳板。 企业分支安全挑战 当前大型企业尤其是在其分支机构中,都在寻求采用SaaS应用(如Microsoft Office365)或类似的多云服务,同时期望化解由于员工增多所带来的成本提升。有调查报告显示,60%的公司已经采用了或多或少的SaaS应用程序,并且采用率还会进一步加速。预计到2023年全球SaaS市场将以超21%的复合年增长率(CAGR)继续增长。 然而鉴于传统分支机构所采用的MPLS连接存在诸多局限性,导致其安全性无法匹配当下的Saas应用,甚至无法满足对新应用程序、网络站点和其他最终用户的自动化配置。而且大多数传统广域网基础设施无法有效地处理基于云服务带来的额外网络压力,也无法解决衍生出的包括低带宽,用于诸如VoIP和视频会议等高性能应用程序,分支和分布式资源之间复杂隧道层的有限可见性和控制,以及糟糕的用户体验等问题。 默认SD-W...
- 下一篇
沙箱的无能为力之处
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 沙箱是安全栈重要组成部分,但企业的整个策略不能依靠沙箱来检测所有威胁。 从事网络安全工作就好像在罪恶之城当警察,每天对战顶着WannaCry、Petya和 “红色十月” 等花名的不知名恶棍,而且恶棍们的战术、技术和装备还在不断更新。一轮扫黑除恶下来,以为天下太平了,没几天这些老对手又强势归来…… 比如说,2014年发现的Emotet银行木马,最近就改头换面重现江湖了。该新版本是带.doc后缀的XML文档,利用大多数沙箱要求真实文件类型的特性规避检测。即便真实文件类型是XML,终端上还是在Word中打开。 一旦在Word中打开,XML文件中的宏就会触发一段PowerShell脚本,第二阶段的URL,下载Emotet载荷。Emotet会枚举系统上安装的应用程序并检查磁盘空间以确定自身是否处于沙箱环境。如果判断自身身处沙箱环境,载荷就会停止执行。而且,Emotet还有长期睡眠和延迟机制以阻碍动态分析技术,让沙箱无法检测恶意行为。很聪明的做法! 最近的其他威胁也采用了类似的技术规避沙箱检测。Bebloh是2009年检测到的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker快速安装Oracle11G,搭建oracle11g学习环境