当前位置:安全资讯 >> 全文

开源勒索软件项目 desuCrypt 的两个变体现身

发布时间:2018-1-23 13:17 标签: 勒索软件,开源
分享到 0

开源勒索软件项目 desuCrypt 的更改版本被用作新型勒索软件家族的基码。这个家族目前传播两个变体,一个变体的后缀是 .insane,另外一个的后缀是 .DEUSCRYPT

不过好在研究人员已经发布了这两个变体的解密器。

desuCrypt 如何加密

desuCrypt 被执行时,它会显示一个面板窗口显示加密进程的当前状态。这个窗口在勒索软件完成加密前一直都是打开的状态。

ID-Ransomware 的创始人兼发现这个勒索软件家族的研究员 Michael Gillespie 指出,至少 Insane 变体是通过 RC4 加密算法对文件进行加密。RC4 密钥随后通过内嵌的 RSA 2048 密钥进行加密,之后被嵌入到每个加密文件的末尾。

根据变体的不同,当加密文件时,勒索软件在加密文件名称后会添加以下两种后缀中的一种:[rememberggg@tutanota.com].DEUSCRYPT the .[insane@airmail.cc].insane。如,Insane 变体加密的文件会被更名为 4.png.[insane@airmail.cc].insane

所有的文件被加密后,勒索文件会在桌面上留下勒索留言,名称为 How_decrypt_fies.txtInsane 变体)以及 note.txtDeusCrypt 变体)。这两种勒索留言均告知受害者联系所列邮箱地址按照指示支付勒索金。

目前尚不知晓勒索金是多少,以及受害者支付款项后是否会获得解密器。

解密 Insane Deuscrypt 变体

Michael Gillespie 为两个变体均创建了一个解密器。要使用这个解密器,受害者需要拥有同一个文件的加密格式和非加密格式,而且文件必须大于10MB。随后这些文件被用于暴力破解解密密钥。一旦解密密钥恢复后,就可通过解密器免费恢复文件。

如何防范

为了保护自己免受勒索软件的攻击,用户的良好计算习惯和使用一款安全软件起着重要作用。首先,用户应当永远备份可靠且经过测试的数据以便在紧急情况下如遭遇勒索软件攻击时将其恢复。

同时,用户应该使用一款安全软件,集成行为检测来对抗勒索软件而不仅仅依靠签名检测或探索法。最后,确保践行以下良好的安全习惯,它们在很多情况下起着最重要的作用:

l  备份,备份,备份!

l  如果不知道来源,则不要打开附件。

l  在证实来源确实发送了附件之前不要打开。

l  通过杀毒工具扫描附件。

l  确保已经安装微软推出的所有Windows 更新。同时确保更新了所有的程序尤其是 JavaFlash Adobe Reader。更老旧的程序包括常被恶意软件传播者利用的安全漏洞,因此保持对老旧程序的更新。

l  确保安装了使用行为检测或白名单技术的安全软件。白名单虽然难以上手,但一旦掌握则会赢得巨大的回报。

l  使用硬密码,永远不要在多个站点复用相同的密码。

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/desucrypt-ransomware-in-the-wild-with-deuscrypt-and-decryptable-insane-variants/
参与讨论,请先 登录 | 注册

用户评论