阿里雲河南:該段時間出現的勒索病毒及變種統計。
一、 Relec勒索病毒
2月16日,發現Relec勒索病毒,該勒索病毒目前處在開發階段,並不會加密文件。從提示的勒索信息上看,加密文件後會勒索1個比特幣;從樣本文件上看,該勒索病毒會僞裝成pdf進行傳播。
二、 DeadRansomware勒索病毒
2月16日,發現DeadRansomware勒索病毒,根據勒索信息,DeadRansomware勒索病毒加密文件後,會勒索價值150美元的比特幣。但是分析後發現,DeadRansomware勒索病毒實際上是個鎖屏木馬,並不會加密文件,從“Decryption Code”處輸入” DeadRansonwareDecryptMyFiles”即可退出。
三、 Saturn勒索病毒
2月19日,發現Saturn勒索病毒通過釣魚郵件等方式傳播,加密文件後以“ .saturn ”作爲後綴。Saturn勒索病毒是暗網上公開提供的勒索病毒服務之一,服務提供商會從每次勒索贖金中抽取30%作爲收益,勒索的贖金可由服務使用者自定義。
四、 BananaCrypt勒索病毒
2月17日,發現BananaCrypt勒索病毒,該勒索病毒加密文件後,會將文件後綴修改爲“.bananaCrypt”。根據提示,受害者需要繳納價值300美元的比特幣才能解密文件。
五、 Shifr勒索病毒變種CryptWalker
2月20日,發現Shifr勒索病毒變種Cypher,該勒索病毒加密文件後,會將文件後綴修改爲“. cypher”。根據提示,會向用戶勒索1個比特幣。
六、 Data Keeper勒索病毒
2月22日,發現Data Keeper勒索病毒,該勒索病毒加密文件後並不會修改文件後綴,只有當用戶主動打開文檔時纔會發現文檔被加密了,這使得用戶不知道自己電腦上究竟多少文檔已經被加密,更加容易恐慌。根據分析,Data Keeper和Saturn勒索病毒一樣,同爲投放在暗網上的勒索病毒服務,勒索的贖金也可以由服務使用者自定義。
七、 GlobeImposter勒索病毒
2月24日,國內兩家省級醫院服務器疑似遭最新勒索病毒GlobeImposter攻擊,黑客在突破企業防護邊界後釋放並運行勒索病毒,最終導致系統破壞,影響正常工作秩序。不法黑客要求院方在指定時間內支付價值幾萬到數十萬人民幣不等的比特幣纔可恢復數據。
八、 Xiaoba勒索病毒變種
發現兩例Xiaoba勒索病毒變種,其中一例玩起了二次元風,加密文件後將後綴改爲.病名は愛です[[email protected]].xiaoba,並在桌面背景顯示一段恐嚇性日文,大意是說看到這段文字的用戶將面臨“死亡”。此外彈出200秒倒計時窗口,要求用戶在規定時間內輸入密碼,否則將被刪除所有文件。
另外一例變種則在加密後將後綴修改爲.Encrypted[[email protected]].XiaoBa,從勒索信息上看畫風很像去年針對服務器攻擊的XTBL等家族。
