-
-
[翻译]通过黑客远程桌面服务安装的新Matrix Matrix Ransomware变体
-
2018-4-8 13:54
-
MalwareHunterTeam本周发现了两个新的Matrix Ransomware变体,这些变体 正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。
根据勒索软件执行时显示的调试消息以及BleepingComputer论坛中的各种报告,这种勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。
两种不同的变体正在分发
目前有两种不同的Matrix版本正在发布。这两种变体都安装在黑客RDP上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。
这些差异如下所述。
变体1:[Files 4463@tuta.io]
这种由[Files4463@tuta.io]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。
加密屏幕
网络扫描屏幕
当文件被加密时,它将加密文件名,然后附加[RestorFile@tutanota.com]扩展名到它。例如,test.jpg会被加密并重命名为0ytN5eEX-RKllfjug。[Files4463@tuta.io]。
加密文件的文件夹
该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf的赎金备注 。该赎金说明包含用于联系攻击者并进行赎金支付的Files4463@tuta.io,Files4463@protonmail.ch和Files4463@gmail.com电子邮件地址。
该变体还将桌面背景更改为以下图像。
不幸的是,Matrix Ransomware的这种变体无法免费解密。
变体2:[RestorFile@tutanota.com]
第二个变体通过使用[RestorFile@tutanota.com]扩展名来标识。
虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用cipher命令覆盖计算机上的所有可用空间。此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。
当这个变体正在运行时,它将利用下列窗口显示感染的状态。请注意,与前一个版本相比,此版本中显示的日志记录更多。
当文件被加密时,它将加密文件名,然后附加[RestorFile@tutanota.com]扩展名到它。例如,test.jpg会被加密并重新命名为0ytN5eEX-RKllfjug [RestorFile@tutanota.com]。
这个变种也会放弃名为#Decrypt_Files_ReadMe#的赎金笔记 。rtf 在扫描的每个文件夹中。该赎金说明包含用于联系攻击者并进行赎金支付的RestorFile@tutanota.com,RestoreFile@protonmail.com和RestoreFile@qq.com电子邮件地址。
它还会将桌面背景更改为以下图像。
桌面背景
在此变体完成加密计算机后,它将执行“cipher.exe / w:c”命令以覆盖C:驱动器上的可用空间。这是为了防止受害者使用文件恢复工具来恢复他们的文件。
密码命令
不幸的是,像以前的版本一样,这个版本不能免费解密。
如何保护您免受Matrix Ransomware的侵害
为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。
由于Matrix Ransomware可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到Internet。而应将运行远程桌面的计算机放在VPN后面,以便只有那些在您的网络上拥有VPN帐户的人才能访问它们。
设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。
您还应该拥有安全软件,其中包含行为检测来对抗勒索软件,而不仅仅是签名检测或启发式检测。例如, Emsisoft反恶意软件 和 Malwarebytes反恶意软件 都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。
最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤:
备份,备份,备份!
如果您不知道是谁发送的,请不要打开附件。
直到您确认该人实际寄给您的附件后才能打开附件,
使用VirusTotal等工具扫描附件 。
确保所有Windows更新一出来即安装!另外请确保您更新所有程序,特别是Java,Flash和Adobe Reader。较旧的程序包含恶意软件分发者通常利用的安全漏洞。因此重要的是让他们更新。
确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。
使用硬密码并且不要在多个站点重复使用相同的密码。
最后为了保护软件安全不被破坏,可登陆 https://lm.virbox.com/选择你需要的保护形式。
欢迎与我们开展交流
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
