一个新的赎金软件程序,使轮次使用简单但有效的技术来使用户文件无法访问:将它们锁定在受密码保护的zip存档中。
新的威胁被称为BART,并分享一些相似之处 - 特别是在赎金中 - 锁定,一个更广泛的赎金软件程序。它通过垃圾邮件分发,将伪装为照片的垃圾邮件。
电子邮件具有包含JavaScript文件的zip附件。这些文件可以直接在Windows上运行,而无需其他软件,并且是分发恶意软件的越来越常见的方法。
如果执行了Rogue JavaScript文件,则它下载并运行称为Rocketloader的恶意程序,该程序被设计为旨在下载和安装其他恶意软件。在这种情况下,Rocketloader安装Bart。
根据安全供应商Phishme的研究人员,他们首先遇到这种新威胁,BART通过其简单和效率脱颖而出。
大多数赎金软件程序将包含本地生成的AES(高级加密标准)密钥的文件加密,然后将其自身加密,该密钥是公共私钥对的一部分的公共RSA密钥。解密所需的私钥被发送到由攻击者操作的命令和控制服务器并从本地计算机删除。
BART不使用像RSA这样的公钥加密。它扫描具有某些扩展的文件 - 音乐,照片,视频,档案,文档,数据库等 - 然后使用命名格式original_name.extension.bart.zip锁定在密码保护的zip存档中。
ZIP格式本身支持AES加密,因此其创建者并不需要实现AES本身,这容易出错。这一并不是意味着Bart完美无瑕,但至少现在,没有知道恢复受影响的文件的知名方法。
因为它没有使用公钥键对,所以新的赎金软件程序也不需要一个命令和控制服务器,显着降低其创造者的发展成本。
攻击者只使用一个托管托管的支付网关,受害者可以提交恶意软件生成的唯一ID,支付比特币的赎金并接收解密器。赎金金额为3比特币,或大约1,920美元,这很高,特别是如果受害者不是公司。
劳伦斯·亚伯拉姆斯(Compual BleepingComputer.com)的创始人据劳伦斯·亚伯拉姆(Lawrence Abrams)表示,赎金说明是英语,西班牙语,意大利语,法语和德语的本地化,其中一些用户已经报告了BART感染。如果将计算机的语言被检测为俄语,Belorussian或乌克兰语,则赎金软件不会加密受害者的文件。
不幸的是,对于用户来说,BART证明攻击者不需要高级加密知识或复杂的基础架构,以创建可靠且有效的赎金软件程序。这就是为什么这种网络犯罪模型非常成功,为什么它很快就会赢得了“t”。
为了保护自己违反赎金软件攻击,用户应该是谨慎的电子邮件附件,尤其是那些与JS这样不同的文件扩展。它们还应将计算机软件保持最新,尤其是浏览器和浏览器插件,它们应该实现涉及脱机或异地备份位置的文件备份例程。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。