AntiHacker Ransomware
保护个人和企业数据免受现代恶意软件威胁已不再是可有可无的,而是运营的必要条件。勒索软件运营商不断改进其策略、工具和社会工程方案,以最大限度地破坏网络并勒索钱财。即使是规模较小的组织和家庭用户也经常成为攻击目标,如果没有做好准备,恢复工作可能非常困难甚至不可能。Xorist 家族的成员 AntiHacker 勒索软件正是这样的威胁。
目录
威胁概述和谱系
AntiHacker 是一款由信息安全研究人员发现的恶意程序,被归类为 Xorist 勒索软件家族。基于 Xorist 的威胁通常基于一个工具包框架构建,攻击者可以自定义该框架,更改显示的勒索信息、文件扩展名、语言元素和其他参数。AntiHacker 遵循 Xorist 的惯用伎俩:加密受害者数据,然后索要赎金以换取所谓的解密密钥。
文件加密行为和标记
一旦 AntiHacker 入侵系统,它就会在本地驱动器以及可能映射的网络位置搜索用户可访问的数据。目标文件类型广泛,包括文档、图像、档案、多媒体文件以及其他有价值的数据存储。每个加密项目都会通过在原始文件名末尾附加字符串“.antihacker2017”进行重命名。例如,最初名为“1.png”的文件将更改为“1.png.antihacker2017”;“2.pdf”将更改为“2.pdf.antihacker2017”;并且此模式在所有已处理的文件中重复。添加扩展名有两个目的:它以视觉方式向受害者发出入侵信号,并帮助勒索软件识别其已处理过的项目。
勒索信、弹出窗口和壁纸信息
完成加密程序后,AntiHacker 会修改受害者的桌面壁纸,并以两种并行格式释放勒索信息:一个弹出窗口和一个名为“КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt”(俄语意为“如何解密文件”)的文本文件。弹出窗口和文本文件中显示的信息内容相同。然而,壁纸版本包含额外的社会工程学语言,声称攻击的发生是因为用户访问了特定的成人网站或非法网站。这种羞辱性手段旨在迫使受害者迅速且悄无声息地支付赎金。
字符编码怪癖
在不使用西里尔字符集的系统上,弹出窗口中显示的勒索文本可能会显示为无法阅读的乱码。因此,受害者可能会看到损坏的消息窗口,但仍能在释放的文本文件中找到可读的指令。攻击者通常会忽略本地化细节;防御者可以利用这些信息来聚类相关事件。
强制机制:关键入口限制和威胁声明
赎金指示指出,受害者必须联系攻击者才能获得解密密钥。此外,还设置了高压限制:密钥输入次数不得超过50次,超过50次后,加密数据将永久丢失。此外,还警告称,使用安全工具、重启或关闭设备将导致文件无法解密。这些恐吓手段在勒索软件攻略中很常见,旨在阻止用户寻求专业帮助或尝试安全的补救措施。
为什么支付赎金是有风险的
AntiHacker(或任何勒索软件)背后的网络犯罪分子在付款后无法保证提供有效的解密解决方案。付款的受害者通常一无所获,收到的密钥已损坏,或者成为反复勒索的目标。付款还会为正在进行的犯罪活动提供资金,并刺激进一步的攻击。谨慎的做法是尽可能避免付款,并专注于您可控制的恢复途径。
复苏的现实
从受感染的系统中删除 AntiHacker 可以阻止进一步的文件加密,但无法解密已锁定的数据。最可靠的恢复方法是从隔离、离线或恶意软件无法触及的备份中恢复受影响文件的干净副本。如果没有可用的备份,数据恢复选项将受到严重限制。
主要感染媒介
勒索软件开发者依赖与其他恶意软件类别相同的广泛分发生态系统。AntiHacker 也不例外。攻击者经常将有效载荷伪装成合法软件,或将其与破解或盗版的程序、文档或安装程序捆绑在一起。仅仅打开一个带有陷阱的文件就可能触发下载或执行链。
- 通过电子邮件、私人消息或直接消息传递带有恶意附件或嵌入链接的网络钓鱼和社会工程诱饵。
- 未经用户明确同意,从受感染或恶意网站发起的驱动或欺骗性下载。
- 一旦嵌入,木马加载器和后门就会悄悄检索并启动勒索软件。
- 不可信的下载源,例如免费软件网站、第三方托管页面和点对点 (P2P) 文件共享网络。
- 在线诈骗和恶意广告活动将用户重定向至漏洞利用工具包或恶意负载。
- 非法软件激活工具(“破解”/密钥生成器)和虚假软件更新,安装恶意软件而不是合法补丁。
- 档案(ZIP、RAR 等)、可执行文件(EXE、RUN 等)、脚本文件(例如 JavaScript)和文档格式(PDF、Microsoft Office、OneNote 等)被武器化以启动感染链。
防御策略概述
有效的勒索软件防御需要人员、流程和技术三重防护。您不能依赖单一的保护控制措施;必须假设至少有一层会失效。结合用户意识、强化的配置、严格的补丁程序、强大的备份实践以及强大的检测/响应能力,才能降低反黑客式入侵的可能性和影响。
- 维护重要数据的备份。
- 保持操作系统、应用程序和安全工具完全更新;及时应用补丁,特别是对于远程访问和文件共享服务。
- 使用信誉良好的反恶意软件/端点检测和响应 (EDR) 解决方案,并在支持的情况下具有行为勒索软件检测和自动回滚功能。
- 强制执行最低权限的用户权利;在非管理员帐户下执行日常任务并限制对共享数据存储的写访问权限。
- 分割网络并限制横向移动;将备份存储库和关键服务器隔离在不同的访问层上。
- 要求远程登录、特权操作和备份管理控制台采用多因素身份验证 (MFA)。
结论
AntiHacker 勒索软件展现了威胁行为者如何利用 Xorist 等基于工具包的勒索软件家族来策划强大的、针对特定区域的勒索方案。其数据加密、文件名标记、多语言勒索信息以及强制性消息传递都旨在促使受害者付款。然而,最强大的应对措施仍然是做好准备:独立备份、分层防御、知情用户以及严谨的响应计划。投资于这些防护措施的组织和个人可以将潜在的灾难性勒索软件事件转化为可恢复的事件。
留言
找到以下与AntiHacker Ransomware相关的消息:
|
Message shown as a desktop background image; Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Ваш данные были зашифрованы по причине того что с вашего IP Был зафиксирован доступ на Порно сайты: по ключевым запросам Гей-порно, порно с малолетками, инцест, изнасилование. Порно это Вред!!! Надеемся в будущем вы не будете посещать данные сайты." Вам на почту придёт инструкция по расшифровке ваших данных. Не пытайтесь запустить Антивирус. Он только навредит и исключит возможность расшифровки. Удачи. С Вами был Антихакер. |
|
Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru С кодом №83465178562201 У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Также не рекомендую выключать компьютер. Это также приведет к удалению Windows. Это не шутка и не прикол. Стоит перезагрузить компьютер и вы навсегда потеряете свои данные. |
