捡到一枚新型的勒索软件,Cash Ransomware,其评估了被加密文件的价值,对加密文件采用现金支付,而非类比特币之类的加密货币,这是一种有恃无恐的表现。
图1 CashRansomware勒索信
这类自称为Cash Ransomware的勒索软件对被勒索环境提供了英文、挪威语、乌克兰语、法语、德语、西班牙语、意大利语、荷兰语、葡萄牙语、日语、中文的勒索信支持。
被加密的文件扩展名会被修改为CashRansomware,勒索软件会在启动菜单驻留,随机进行自启动,全盘加密完成后会修改桌面背景并弹出勒索信。
图2 CashRansomware加密后的扩展名
图3 CashRansomware自启动文件
图4 CashRansomware加密完成后修改的桌面背景
然而由于加密技术原因,被加密后的文件还有数据恢复的可行性,笔者用数据恢复软件成功的测试性恢复了一些被加密的文件,可见,这个CashRansom组织似乎是网络土匪中的新手。测试过程中,加密比较慢,一旦文件修改文件CashRansomware扩展名,可结束陌生进程,断网尝试数据恢复。
图5 CashRansomware加密后数据可恢复示例
Yara
rule Ransom_CashRansom_Win{meta:description = "Kadavro GROUP"author = "virk"thread_level = 10in_the_wild = truestrings:$a = "KadavroSupp"$b = "CashRansomware"condition:(uint16(0) == 0x5A4D) and $a and $b}
原文始发于微信公众号(锐眼安全实验室):勒索软件演进新阶段|一枚要求支付现金的勒索软件Cash Ransomware
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论