点击蓝字关注我们
目前勒索病毒仍然是全球最大的威胁,随着最新CVE-2019-0708漏洞的更新,未来会不会有新型的勒索病毒利用此漏洞进行攻击,需要时刻保持警惕,同时一定要记得打补丁!打补丁!打补丁!大部分勒索病毒是无法解密的,一定要保持高度的重视,最近已经有一大波新型勒索病毒来袭......
已知勒索病毒变种
STOP勒索病毒变种,增加了如下加密后缀:
mtogas、nasoh、nacro、pedro、vesrato、nuksus、vesrato、masodas、cetori、stare、carote、coharos、gero、hese、geno、seto、cdr、shariz、peta、moka
这是一款非常活跃的勒索病毒其加密后缀非常多,幸运的是之前的一些加密后缀已经有解密工具发布,随着一些新的变种的发布,STOP解密器也进行了最后一次更新,最新的解密工具下载地址:
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
此次更新了如下一些加密后缀,其相应的变种的离线密钥,如下所示:
OFFLINEID: ILhWAvjUyWzsKyxDL0dKq3Su6QUUpndwXWfa2Nt1
Extensions:.mtogas
OFFLINEID: XIcCeHxN38dLD0Yg0cN7CdKtidQv0JQEm8hKIlt1
Extensions:.nasoh
OFFLINEID: gyTwIW8EFRyrHBHcn0bFVHerzI3NtAa14YK0kst1
Extensions:.nacro
OFFLINEID: 98sPqhSP6fu4VGWnM1G9A075ZFxi5MMVRr2Limt1
Extensions:.pedro
OFFLINEID: AejWZezSEZGqqdJANfzMilEs9Ns6YgqnOqJDOgt1
Extensions:.vesrato
OFFLINEID: irtRoAwZBsG2xlRr6IAT6XJOVqA6I5bPZ0onRvt1
Extensions:.masodas
OFFLINEID: 9HGTCt5KWHhAMQlcARxO5A6jkqiYUs64aMYNg3t1
Extensions:.nuksus
OFFLINEID: Nk780H58ZxM4dZ5H8DRqyzWzhAZZ1G1J4gYxrtt1
Extensions:.cetori
OFFLINEID: 6qLyfMFPsdHt0N7fRSGoXRvhOjNiMSIf6ovWntt1
Extensions:.stare
OFFLINEID: hvKVwn4fNn8A1rpjC19CUFmS1ySGycmqdrz89zt1
Extensions:.carote
STOP勒索病毒的勒索信息,如下所示:
然而遗憾的是,STOP解密工具宣布停止更新了,因为此勒索病毒运营团伙在新版的几个STOP勒索病毒变种中,使用了新的加密算法,导致无法解密
Scarab勒索病毒最新变种
新的变种的加密后缀为dom,并生成勒索提示信息文件How to decrypt file.txt,内容如下所示:
同时还有一个变种,加密后缀名为lbiaf6c8或随机名,相应的勒索提示信息,如下所示:
Globelmposter2.0勒索病毒最新变种
新的变种的加密后缀为makkonahi
Globelmposter3.0最新变种加密文件后缀为:Apollon865,勒索提示信息,如下所示:
CrySiS(Dharma)勒索病毒最新变种
新的变种增加了如下加密后缀:
pdf、cmd、MGS、com2
新的变种增加了如下邮件地址:
decryptbots@cock.li
jsmith1974@mail.fr
mrcrypt@cock.li
DonovanTudor@aol.com
同时还有一款变种,加密后缀名为group,勒索提示信息文件名为RETURN FILES.txt
Phobos勒索病毒最新变种
新的变种加密后缀名为HorseLiker,勒索提示信息,内容如下所示:
另外一款Phobos变种,加密后的文件后缀名为:BANKS、Banta、adage、banjo,邮箱地址:
zax4444@qq.com
eccentric_inventor@aol.com
hanesworth.fabian@aol.com
wewillhelpyou@qq.com
TFlower勒索病毒变种
新的变种邮件地址:
flower.harris@protonmail.com
flower.harris@tutanota.com
勒索提示信息,如下所示:
Emsisoft发布了Syrk勒索病毒的解密工具,下载链接:
https://www.emsisoft.com/ransomware-decryption-tools/download/syrk
Sodinokibi勒索病毒此前加密了数百家牙科诊所,并发现Sodinokibi勒索病毒通过一个虚假论坛进行传播,此勒索病毒非常活跃
新型勒索病毒来袭
已知勒索病毒在不断变种,通过各种方式传播,新型的勒索病毒也在不断涌现,最近出现的新型勒索病毒如下
NEMTY勒索病毒
此勒索病毒的加密后缀为.nemty,勒索提示信息文本文件为NEMTY-DECRYPT.txt,内容如下所示:
该勒索病毒最开始通过RDP爆破进行传播攻击的,最近与RIG Exploit Kit工具包运营团队达成了分销协议,后面可能会利用RIG Exploit Kit工具进行传播,有没有爆发的可能,需要关注
SGUARD勒索病毒
此勒索病毒的加密后缀为sguard,勒索提示信息文本文件SGUARD-README.txt,内容如下所示:
此勒索病毒的BTC钱包地址:
15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
good勒索病毒
此勒索病毒加密后缀为good,同时在勒索提示信息中,它留言让受害者尽量找他们解密,不要通过中介等其他解密服务机构进行解密,找他们解密价格会比较低!勒索提示信息,如下所示:
HildaCryptV1.0勒索病毒
此勒索病毒的加密后缀名为:HILDA,生成的勒索提示信息文件READ_IT.txt,内容如下所示:
Koko勒索病毒
此勒索病毒加密后的文件为:随机名,生成的勒索提示信息文件名为:[随机名]-Readme.txt,内容如下所示:
该勒索病毒的勒索提示信息文件名和内容与此前的GandCrab、Sodinokibi、GermanWiper、NEMTY等勒索病毒类似
Lilocked勒索病毒
此勒索病毒主要瞄准服务器并加密其上的文件数据,所有受感染加密的都是服务器网站,这会导致这些加密后的文件显示在Google搜索结果中,勒索提示信息,内容如下所示:
以上图片均来源于网上,从上面可以看出勒索病毒非常活跃,不管是已知勒索病毒,还是新型的勒索病毒,都在不断的变种更新,未来仍会有更多新型的勒索病毒涌现,针对勒索病毒的防御仍然是企业防御的重点
上期精彩内容回顾
揭秘地下黑客论坛最流行的恶意软件和黑客工具
全球大多数的安全事件最终都是通过恶意软件进行攻击的,如果你对这些恶意软件感兴趣,想研究学习一些恶意样本的分析技术,欢迎加入知识星球,里面会分享各种最新的安全技术资料:恶意样本分析、渗透测试、应急响应、漏洞分析、黑产追踪等
加入知识星球的朋友,可以加入《安全分析与研究》专业群,可以与群里的各位安全研究员一起交流,讨论安全技术
安全的路很长,贵在坚持......
你“在看”我吗?
本文分享自微信公众号 - 安全分析与研究(MalwareAnalysis)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4593082/blog/4418669