NEFILIM 勒索软件
NEFILIM 勒索软件是网络安全专家在野外检测到的威胁。勒索软件威胁是普通用户需要处理的最严重的威胁之一,因为这些木马会潜入您的系统,锁定您的所有数据,并要求付款以换取可帮助您恢复文件的软件。更糟糕的是,大多数向勒索软件威胁的创建者付款的用户从未收到他们承诺的解密密钥。
Nefilim 首次出现在 2 月底左右。专家们仍然不确定它是如何分发的,但很可能是通过使用远程桌面服务。专家还同意 Nefilim 似乎与 Nemty 2.5 威胁共享一些相同的代码。
这两种病毒的主要区别在于 Nefilim 使用电子邮件通信,而不是通过 Tor 要求付款。 Nefilim 还删除了勒索软件即服务 (RaaS) 模型,它似乎是一种专有病毒。
目录
传播和加密
在传播勒索软件威胁时,垃圾邮件是最常用的感染媒介之一。这些攻击活动通常涉及包含虚假消息和带有宏的附件的电子邮件,一旦打开就会感染目标的计算机。传播勒索软件威胁的网络犯罪分子也往往依赖于恶意广告、虚假软件下载/更新、torrent 跟踪器、各种应用程序的伪造盗版副本等。 NEFILIM Ransomware 一旦肯定会破坏您的系统,就会造成严重破坏。这种勒索软件威胁很可能被编程为将其加密算法应用于您计算机上存在的所有文件。这意味着一切都不会幸免 - 图像、音频文件、文档、档案、电子表格、数据库、演示文稿、视频等。 当 NEFILIM Ransomware 完成锁定您的文件时,您可能会注意到此威胁已通过附加额外的扩展。 NEFILIM Ransomware 添加了一个 '. NEFILIM' 对所有新锁定文件的名称进行扩展。例如,原本名为“blue-blood.mp3”的文件将重命名为“blue-blood.mp3”。尼菲林。
赎金记录
NEFILIM Ransomware 的勒索消息包含在名为“NEFILIM-DECRYPT.txt”的文件中。在赎金票据中,攻击者声称已使用军用级加密算法对用户数据进行加密。 NEFILIM Ransomware 的创建者为用户提供了 7 天的联系期限。如果受害者没有在截止日期前完成,攻击者会声明他们将开始在线泄露用户的数据。 NEFILIM Ransomware 的作者要求用户向他们发送两个文件,他们将对其进行解密以证明他们拥有有效的解密密钥。攻击者提供了三个电子邮件地址作为通信手段——“jamesgonzaleswork1972@protonmail.com”、“pretty_hardjob2881@mail.com”和“dprworkjessiaeye1955@tutanota.com”。
赎金纸上写着:
您的所有文件都已使用军用级算法加密。
我们确保检索您的数据的唯一方法是使用我们的软件。
当我们的要求得到满足时,我们将确保您快速安全地检索您的数据。
恢复您的数据需要只有我们拥有的私钥。
您的大量私人文件已被提取并保存在安全位置。
如果您在违规后的七个工作日内未与我们联系,我们将开始泄露数据。
在您与我们联系后,我们将向您提供文件已被提取的证明。
为了确认我们的解密软件工作正常,我们从随机计算机发送了 2 个文件。
在您将测试文件发送给我们后,您将收到进一步的说明。
jamesgonzaleswork1972@protonmail.com
Pretty_hardjob2881@mail.com
dprworkjessiaeye1955@tutanota.com
这种威胁过去并不值得关注,但时代已经变了。如今,随着病毒威胁层出不穷,有大量证据表明黑客非常愿意接受他们的攻击。
我们建议您对计算机上的所有基本信息进行加密,并仅使用加密渠道传输这些信息。这有助于防止数据被盗或拦截。您应该定期备份数据,以便在发生数据丢失或勒索软件攻击时安全地恢复文件。您拥有的备份越多越好。
Nefilim 加密
Nefilim 使用 AES-128 加密算法加密文件。然后使用内置于勒索软件可执行文件中的 RSA-2048 公钥再次加密文件的加密密钥。
加密的密钥被添加到文件中,并且只能用 RSA 私钥解密。攻击背后的威胁行为者保留密钥的唯一副本。 Nefilim 还将每个文件的文件扩展名更改为 .NEFILIM。例如,名为 ABC.doc 的文件将变为 ABC.doc.NEFILIM。
建议避免与网络犯罪分子(例如负责 NEFILIM Ransomware 的人)接触。网络骗子很少信守承诺,即使您支付了所要求的赎金,您也可能永远无法获得恢复文件所需的解密密钥。考虑下载并安装正版反间谍软件应用程序,它不仅可以安全地从您的计算机中删除 NEFILIM Ransomware,而且可以在将来确保您的系统和文件安全。
