Lucky勒索软件

Lucky勒索软件 介绍

Lucky Ransomware是一种加密勒索软件木马,于2018年11月中旬被发现,当时它感染了金融领域一些公司的服务器。勒索软件威胁旨在使用加密算法来使受害者的文件不可访问,以便他们可以要求勒索赎金,以换取对受影响数据的重新访问。对这种恶意软件的分析表明,它与以前检测到的名为Satan的勒索软件具有几乎相同的结构和相同的CNC服务器。撒旦勒索软件本身已经随着时间的推移而发展,将其利润来源从勒索变成了挖矿,而目前,威胁参与者将新的变种Lucky结合了加密货币挖矿功能和勒索功能。

幸运是撒旦勒索软件的变种

Lucky Ransomware设计要执行的主要功能是文件加密,传播和挖掘。 Lucky使用AES加密算法进行文件加密,Lucky使用某些众所周知的服务器端漏洞进行传播,同时为了获取更多利润从恶意软件中进行挖掘,使用了一个自建的矿池地址。由Satan Ransomware使用。 Lucky的总体架构与Satan Ransomware的架构相匹配。它包含几个组件,例如一个名为“ fast.exe / ft32”的非常小的文件,该文件预加载了传播和加密模块。然后,恶意软件使用名为“ cpt.exe / cry32”的加密模块对文件进行加密,而传播模块“ conn.exe / conn32”则通过利用相应的系统漏洞来传播恶意软件。最后,一个名为“ mn32.exe / mn32”的挖掘模块建立了与矿池地址的连接,一个名为“ srv.exe”的服务模块通过创建Windows服务来确保稳定的执行。

幸运的勒索软件不会给受害者带来任何好运

Lucky Ransomware感染Windows和Linux平台,并且具有蠕虫状的设计,可以利用Windows和Linux服务器平台中的十个不同且众所周知的漏洞,自行传播,而无需任何人为干预。网络安全专家已成功识别出这些漏洞,它们是:

  • JBoss反序列化漏洞(CVE-2013-4810,CVE-2017-12149)
  • JBoss默认配置漏洞(CVE-2010-0738)
  • Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
  • Windows SMB远程执行代码漏洞(MS17-010)
  • Tomcat任意文件上传漏洞(CVE-2017-12615)
  • Tomcat Web管理控制台后台弱密码暴力破解攻击
  • WebLogic任意文件上传漏洞(CVE-2018-2894)
  • WebLogic WLS组件漏洞(CVE-2017-10271)
  • Apache Struts 2远程代码执行漏洞(S2-045)
  • Apache Struts 2远程执行代码漏洞(S2-057)

幸运的勒索软件具有广泛的感染风险,因为所有这些漏洞都易于利用,并且实际利用都可以在Internet上公开获得。这使得威胁参与者几乎无需自定义恶意软件脚本即可攻击易受攻击的系统。尚未修补其系统的组织面临更高的风险,因为一些已利用的漏洞已在几个月前宣布。

用户生成的文件是加密的主要目标

为了加密文件,恶意软件会遍历文件夹并通过其特定扩展名找到目标文件。. 勒索软件会跳过受感染机器正常运行所需的系统文件,而由Lucky加密的目标文件包括各种用户生成的文件,例如多种媒体文件类型,文档,数据库等:

.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

受到攻击的所有文件都会通过添加联系电子邮件,随机字符串和文件扩展名“ .lucky”来重命名,所有文件都将添加到受攻击的数据中。 2018年12月的另一个分析样本使用“ .nmare”代替“ .lucky”作为损坏文件的名称。

幸运勒索软件的勒索需求

犯罪分子有理由要求受害者支付赎金,因为像Lucky Ransomware这样的威胁旨在加密受害者的文件。 Lucky Ransomware勒索要求包含在名为“ _How_To_Decrypt_My_File_.txt”的文本文件中,该文件放置在受感染计算机的桌面上。在其他一些示例中,赎金记录文件名为“ How_To_Decrypt_My_File”。以下是幸运勒索赎金记录中包含的文本:

'很抱歉告诉你。

有些文件已加密

如果您想退回文件,请向我的钱包发送1比特币

我的钱包地址:3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd

如果您有任何疑问,请与我们联系。

电子邮件:[nmare@cock.li]'

Lucky Ransomware的赎金记录应被忽略,应避免支付与Lucky Ransomware等威胁相关的任何赎金!

保护您的数据免受诸如幸运勒索软件的威胁

防范Lucky Ransomware等威胁的最佳方法是拥有文件的备份副本。如果将这些备份副本存储在安全的位置(例如云)中,则可以更安全。除了文件备份之外,计算机用户还应安装一个安全程序,该程序虽然不能还原加密的数据,但可以阻止首先安装Lucky Ransomware。. 由于勒索软件攻击通常利用保护不力的网络以及过时的软件和操作系统的优势,因此,计算机用户必须确保其计算机始终处于最新状态并受到充分保护,免受恶意软件威胁,这一点很重要。

您是否担心您的计算被Lucky勒索软件 &或其他威胁感染? 用SpyHunter扫描您的电脑

SpyHunter是一款功能强大的恶意软件修复和保护工具,帮助用户进行深入的计算机系统安全分析,检测和清理如Lucky勒索软件的\各种威胁,并提供一对一的技术支持服务。 下载SpyHunter的免费恶意软件清除器
请注意:SpyHunter的扫描仪用于恶意软件检测。如果SpyHunter在您的PC上检测到恶意软件,则需要购买SpyHunter的恶意软件清除工具以清除恶意软件威胁。查看更多关于SpyHunter的信息。免费的清除器可以使您可以进行一次性扫描,并在48小时等待时间内接受一次修复和清除。免费的清除器,需遵循促销详细信息和特殊促销条款。要了解我们的政策,还请查看我们的最终用户许可协议隐私政策威胁评估标准。如果您不再希望在计算机上安装SpyHunter,请参考这些步骤卸载SpyHunter

由于安全问题,您无法下载SpyHunter或访问网络?

解决方案: 您的计算机可能在内存中隐藏了恶意软件,以防止任何程序(包括SpyHunter)在您的计算机上执行。请按照说明下载SpyHunter并访问网络:
  • 使用备用浏览器。恶意软件可能会禁用您的浏览器。例如,如果您正在使用IE,并且在下载SpyHunter时遇到问题,您可以使用Firefox、Chrome或Safari浏览器。
  • 使用可移动媒体。在另一台计算机上下载SpyHunter,将其刻录到USB闪存驱动器、DVD/CD或任何常用的可移动媒体,然后将其安装在受感染的计算机上并运行SpyHunter的恶意软件扫描程序。
  • 以安全模式启动Windows。如果您无法访问Windows桌面,请在“带网络连接的安全模式”下重启您的计算机并在安全模式下安装SpyHunter
  • IE用户:禁用Internet Explorer的代理服务器以使用Internet Explorer浏览网页,或更新您的反间谍软件程序。恶意软件会修改您的Windows设置以使用代理服务器来阻止您使用IE浏览网页。
如果您仍然无法安装SpyHunter? 查看安装问题的其他可能原因。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。