Adame勒索软件
一些技术娴熟的网络骗子更喜欢构建和定制独特的恶意软件,并为此感到自豪。然而,其他人宁愿放轻松,也仍然可以赚取一些利润,最好是花最少的精力。这样的人喜欢将其恶意软件的创建基于已经存在的,完善的威胁的代码。 Adame Ransomware的创建者就是这种情况。该文件加密木马是臭名昭著的Phobos Ransomware的变体。
目录
Phobos勒索软件的分支
通过仔细检查其代码,安全研究人员现在已将Adame的结构与讨厌的Phobos勒索软件家族的结构联系在一起。但是,攻击背后的黑客团体在很大程度上掩盖了其身份,因此安全分析人员无法得知安达姆是否被与火卫一背后的犯罪团伙利用。尽管Adame的代码类似于Phobos的代码,但是Adame附加了一个不同的扩展名-所有加密的文件都使用以下模式重命名:
- [File_name] .id。[victim_ID] [supportcrypt2019@cock.li]。阿达姆
- [文件名] .id。[受害者ID] [raynorzlol@tutanota.com]。阿达姆
在此阶段,没有免费的解密器可用于逆转Adame Ransomware加密。
感染载体
与其他Phobos Ransomware的形式相同,Adame Ransomware部署了基于垃圾邮件活动,网络恶意广告和文件共享平台的网络钓鱼攻击组合,以在数千个PC系统中广泛传播。在垃圾邮件中,只要不小心PC用户同意启用宏即可查看附件文档的内容(无论是电子表格,文本文件还是演示文稿文件),就会启动Adame Ransomware。或者,电子邮件中可能包含指向包含Adame Ransomware有效负载以及垃圾邮件中宣传的软件的软件包的URL。另一方面,恶意尝试会提示站点访问者安装特定的浏览器附加组件,以开始勒索软件攻击。最后但并非最不重要的一点是,文件共享服务也为进一步分发恶意软件提供了足够的空间。
损害已经完成
启动后,Adame Ransomware将执行一系列不可阻挡的动作。首先,它收集遇到的任何个人和系统配置详细信息。如果找到任何AV软件,Adame会创建屏蔽软件以逃避检测。最后,勒索软件会修改系统的注册表和启动设置,以确保它每次在系统启动期间启动。虽然早期的Adame Ransomware攻击主要集中在加密用户而非系统数据上,但最近的报告表明Adame的开发人员已经对其进行了一些调整。结果,当攻击网络连接的PC时,Adame现在会传播到所有映射的驱动器,对用户和Windows系统文件都进行加密。一旦Adame完成了数据加密,它就会在受害人的桌面上绘制一对文档,即一个名为Info.hta的弹出HTML和一个Info.txt记事本文件。
感染和加密
尚不清楚Adame Ransomware的作者选择使用哪种传播方法来传播其创作. 但是,有人推测,传播勒索软件威胁的最常见方法可能在这里发挥作用,即垃圾邮件活动,受感染的盗版应用程序和伪造的软件更新。当Adame Ransomware设法侵入系统时,它会通过触发扫描来发起攻击。该扫描旨在查找Adame Ransomware编程要定位的所有文件。扫描完成后,Adame Ransomware将开始加密目标文件。加密后,文件的名称会更改。 Adame Ransomware添加了一个'.id [
赎金记录
接下来,Adame Ransomware删除了一个名为" encrypted.hta"的赎金票据。赎金记录如下:
'您的所有文件都已加密!
由于PC的安全性问题,所有文件均已加密。如果要还原它们,请给我们发送电子邮件至supportcrypt2019@cock.li
在您的邮件标题中写这个ID 1E857D00-2275
如果24小时内无人接听,请给我们发送电子邮件至:supportcrypt2019@protonmail.com
您必须为比特币的解密支付费用。价格取决于您写给我们的速度。付款后,我们将向您发送用于解密所有文件的工具。
免费解密作为保证
付款之前,您最多可以向我们发送5个文件以进行免费解密。文件的总大小必须小于4Mb(未归档),并且文件不应包含有价值的信息。 (数据库,备份,大型Excel工作表等)
如何获得比特币
购买比特币最简单的方法是LocalBitcoins网站。您必须注册,单击"购买比特币",然后按付款方式和价格选择卖方。
hxxps://localbitcoins.com/buy_bitcoins
您也可以在这里找到其他购买比特币的地方和初学者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!
不要重命名加密文件。
请勿尝试使用第三方软件解密数据,否则可能会导致永久性数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(它们会增加我们的费用),或者您可能成为骗局的受害者。"
Adame Ransomware的作者没有提及特定的赎金费用。相反,他们声称价格取决于受害者与他们联系的速度,这听起来像是一种常见的社会工程技术。只要总大小不超过4MB,攻击者便可以免费解密多达五个文件。通常这样做是为了向受害者证明攻击者具有有效的解密密钥。 Adame Ransomware的作者清楚地表明,他们希望以比特币的形式支付赎金,这在处理网络犯罪分子时是常见的要求,因为加密货币可帮助他们保护自己的匿名性并避免麻烦。攻击者给出了两个他们想要联系的电子邮件地址-" supportcrypt2019@cock.li"和" supportcrypt2019@protonmail.com"。
我们强烈建议您远离Adame Ransomware的作者以及一般的网络骗子。与这些人进行谈判不会有什么好处。相反,请确保下载并安装信誉良好的防病毒软件套件,该套件将使您摆脱Adame Ransomware的影响并确保系统的安全。
