BitPaymer勒索软件

BitPaymer勒索软件是一种加密勒索软件木马。与其他同类木马一样，BitPaymer Ransomware旨在使用强大的加密算法对受害者的文件进行加密。然后，BitPaymer勒索软件将要求受害者支付大笔赎金以恢复受影响的数据。 BitPaymer勒索软件拒绝访问数据，实质上是将受害者的文件作为人质。 BitPaymer Ransomware似乎主要用于攻击业务网络和Web服务器，而不是单个计算机用户。将BitPaymer勒索软件分发给受害者的最常见方式是利用保护不良的RDP（远程桌面协议）连接和Web访问面板的优势。弱密码和其他漏洞可能允许第三方访问受害者的计算机，以安装BitPaymer Ransomware或其他威胁。

BitPayer，也称为勒索软件变体DoppelPaymer 。一旦渗透到系统中，BitPaymer / DoppelPaymer就会加密常用文件，并在文件后附加.locked扩展名。此威胁的更新变体可能对任何加密文件使用.lock扩展名。一旦被勒索软件破坏，数据将变得基本上无法使用，威胁会为每个加密文件创建一个文本文件，并在原始文件名后附加.readme_txt。

这些文件包含相同的消息，让受害者了解加密，并迫使他们与BitPaymer / DoppelPaymer的开发人员联系，以获取有关如何将其文件恢复为原始状态的更多说明。尽管打开文件可能会有些困难，因为它们已被重命名并附加了.readme_txt扩展名，因此需要再次重命名才能访问文本文件，例如sample.jpg.readme_txt必须重命名为sample .txt以使其可读。

BitPaymer勒索软件感染过程如何工作

诸如BitPaymer Ransomware之类的负责感染的人员将使用各种漏洞来频繁访问网络的访问点，以发现漏洞。一旦他们设法渗透到受害者网络，他们将在尽可能多的计算机上安装BitPaymer Ransomware，并加密受害者的数据。然后，将要求受害者支付大笔赎金以恢复受影响的文件。 BitPaymer勒索软件将加密本地驱动器上的所有文件，受感染计算机上的可移动存储设备或网络上共享的目录。被BitPaymer Ransomware感染的文件将变得不可访问，并且可以通过文件扩展名" .locked"轻松识别，该扩展名添加到每个目标文件的末尾。

BitPaymer勒索软件的勒索票据和付款方式

一旦BitPaymer勒索软件对受害者的文件进行加密，它将在受害者的计算机上显示赎金字样，并以文本文件的形式显示。该赎金记录的全文如下：

'您的公司已成功渗透！
所有文件均已加密。我们仅接受比特币来共享您网络的解密软件。
此外，我们还收集了您所有的私人敏感数据。
因此，如果您决定不尽快付款，我们将分享...
***'

当受害者按照赎金说明中的指示进行操作时，他们会收到以下消息：

'欢迎来到赎金页面！
要获得网络中每台受感染计算机的解密软件和私钥，请按照屏幕上的说明购买和发送比特币：
1.请注册一个比特币钱包。以下是选项：
-区块链在线钱包（最简单的方法）
-其他选项（适用于高级用户）
-通过比特币交换器直接发送到赎金钱包。
2.要购买比特币，请使用以下任一选项：
-localBitcoins.com用Western Union和几种替代方法购买比特币。
-btc-e.com Western Union，现金，银行电汇等
-coincafe.com推荐用于快速，简单的服务。
-coinbase.com西联汇款，美国银行，联邦快递现金，速汇金，汇票。在纽约：
亲自面对比特币ATM。
-localBitcoins.com服务可让您搜索社区中愿意直接向您出售比特币的人。
-cex.io通过VISA /万事达卡或电汇购买比特币。
-btcdirect.eu最适合欧洲。
-bitquick.co立即购买比特币以获取现金。
-howtobuyBitcoins.info比特币交易所的国际目录。
-cashintocoins.com比特币现金。
-coinjar.com CoinJar允许在他们的网站上直接购买比特币。
-anxpro.com
-bittylicious.com
3.获取要付款的比特币钱包（比特币地址有效期为12个小时，如果超过12个小时请获取新的钱包）
4.发送50 BTC到比特币地址
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1（必须在一次交易中发送！）
请注意，我们需要3比特币交易确认。
-要查看交易的当前状态，请点击以下链接：
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
-交易通过3次确认后，请刷新页面，您将被授权下载解密软件
-如果出现问题，请通过电子邮件与我们联系：17042102@tutamail.com
-在付款之前，我们可以解密2-3个非重要的轻量级文件，然后将其发送至电子邮件：17042102@tutamail.com
4.请注意，自首次访问以来的48小时后，如果未收到付款，则可能会提高赎金数额。
在7天之内该链接将被删除，因此您所有的信息都可能丢失。
您的公司足够安全，但是我们可能会在处理付款后告诉您出了什么问题。祝好运！'

BitPaymer Ransomware的赎金记录包含在名为" READ_ME.txt"的文本文件中，该文件放置在受感染计算机的桌面上。使用TOR建立与支付门户的连接以保持匿名。 BitPaymer勒索软件要求以比特币（50 BTC）的形式赎金超过110,000美元。尽管可以与造成攻击的人员进行谈判，但PC安全研究人员建议公司使用信誉良好的备份系统，以避免必须处理这些威胁。

目前，尚不清楚BitPaymer和DoppelPaymer是使用对称还是非对称加密，但是受害者会收到数据还原所需的唯一密钥。所有解密密钥都位于由BitPaymer / DoppelPaymer的开发人员控制的远程服务器上的某个位置，这种勒索软件威胁通常就是这种情况。一旦联系到威胁者，他们就会鼓励受害者支付赎金以换取钥匙。目前尚不知道赎金的总金额，但通常这些货币的加密货币金额在500美元至1500美元之间。建议用户避免向网络罪犯付款，因为在这种情况下无法保证会产生积极的结果。在许多情况下，受害人的文件仍处于加密状态，威胁行为者只是逃脱了金钱。

还有与BitPaymer和DoppelPaymer类似的威胁，例如PAIN LOCKER，REBUS，Embrace，LittleFinger和其他人。他们可能有不同的创建者，但他们的目标保持不变：他们加密数据，提出赎金要求，并与不了解威胁本质的用户脱身。这些威胁大多数都使用RSA，AES和类似算法来生成唯一的解密密钥。没有适当的解密手段，在没有攻击者任何参与的情况下，手动解密数据基本上是不可能的。诸如BitPaymer / DoppelPaymer之类的勒索软件使我们意识到定期数据备份的重要性，无论是在远程服务器上还是在不插电的存储设备上，都可以避免此类情况。