近日,一种名为“DeathRansom”新型勒索软件开始大范围传播,赎金指定只收比特币。
据安全研究人员称,这种勒索软件实际上早已经开始传播,但一开始并不能真正加密受感染计算机上的文件——只需要删除其附加的.wctc扩展名,文件就可以恢复正常。
不过,这种情况在上个月20日出现了变化。受害者的文件被真正加密,并且DeathRansom的数量也开始呈现出爆发式增长。
与其他勒索软件一样,DeathRansom在成功感染一台计算机之后,它将首先尝试删除卷影副本。
然后,它将对计算机上的所有文件进行加密,但包含如下字符串的文件除外:
- programdata
- $recycle.bin
- program files
- windows
- all users
- appdata
- read_me.txt
- autoexec.bat
- desktop.ini
- autorun.inf
- ntuser.dat
- iconcache.db
- bootsect.bak
- boot.ini
- ntuser.dat.log
- thumbs.db
此外,新的DeathRansom变种不再为加密文件附加扩展名,而是保留它们的原始名称。
图1.加密文件
识别文件是否已被DeathRansom加密的唯一方法,是查看文件的末尾是否标记有“AB EF CD AB”。
图2.识别标记
在每个加密文件所在的文件夹中,DeathRansom都会创建一个名为“read_me.txt”的赎金票据,目前的赎金金额被设定为0.1比特币。
图3.赎金票据
安全研究人员表示,目前尚不清楚DeathRansom是通过何种渠道传播的,但很有能是通过捆绑广告插件的软件安装程序(即从非官方渠道下载的“破解软件”)传播的。
这是因为,许多被DeathRansom感染的受感染计算机,都被发现此前曾感染了另一种名为“STOP”的勒索软件,而STOP正是通过这种渠道传播的。
此外,对于DeathRansom的分析也仍在进行之中,目前尚不确定是否能够找出免费解密的方法。