RobinHood勒索软件

RobinHood勒索软件（RobbinHood Ransomware或RobbinHood File Extension Ransomware）是一种勒索软件木马，用于以提高也门人民的知名度和资金为借口来骚扰计算机用户。实际上，没有证据支持RobinHood Ransomware的创建者具有利他动机的理论。骗子有可能使用RobinHood勒索软件来牟利，就像大多数加密勒索软件特洛伊木马程序的创建者如今一样。但是，对于RobinHood Ransomware而言，勒索要求非常高，因此，任何个人计算机用户在遭受攻击时都不太可能会支付RobinHood Ransomware勒索。采取预防措施来防范诸如RobinHood Ransomware之类的勒索软件木马，这种木马正变得越来越普遍。

也门也有罗宾·胡德

RobinHood Ransomware感染几乎没有什么不同。 RobinHood勒索软件几乎与大多数其他加密勒索软件木马相同。 RobinHood勒索软件将加密受害者的文件，然后要求勒索赎金，以换取恢复受影响文件所必需的解密密钥。 RobinHood勒索软件包含声称为也门人民服务的消息，其中提及沙特阿拉伯在也门杀害无辜者。 RobinHood勒索软件可以通过多种方式安装在受害者的计算机上。与RobinHood Ransomware链接的最常见分发方法是损坏的网站和链接，通常使用垃圾邮件消息或社交媒体上的策略进行分发。 RobinHood勒索软件包括一个宣传图片而不是标准的赎金票据，更改了受害者的桌面图片，以反映其据称为也门人民筹款的目的。 RobinHood勒索软件将加密大量文件，尤其是针对与Microsoft Office相关的媒体文件，照片和文档。 RobinHood Ransomware的桌面图像显示为“ HELP YEMEN”，并包含一条消息，指示受害者采取若干步骤进行恢复。 RobinHood Ransomware还将在受感染计算机的桌面上放置一个文本文件。该文件名为“ READ_IT.txt”，其中包含以下赎金记录，该赎金记录显示在受感染的计算机上：

帮助也门
沙特阿拉伯的本·萨勒曼（Bin Salman）正在轰炸，制造饥荒和疾病，杀死也门的贫穷和无辜人民！
您作为沙特阿拉伯人或其活动的支持者，是他杀人案的伙伴。因此，您遭受了勒索软件攻击，必须接受以下其中一项：
a）放弃所有信息
b）支付五个比特币来帮助也门人民。
比特币地址= 1ENn1BelaKXBotiGuAFE1Yrin3e3vBjUAQH
并将交易链接发送到：decrypter.files@gmx.com
c）使用高音谴责本·塞尔曼（Bin Selman）的罪行，并要求他停止与也门的战争，并让100位用户转推。

RobinHood Ransomware要求的五个比特币的数字目前接近14000美元，这使得普通计算机用户不太可能支付赎金来恢复其文件。此外，没有证据表明骗子会用这些赎金来帮助也门人民。实际上，PC安全分析师以前曾处理过“无私”勒索软件，后者也提出类似的说法，即勒索金额将用于慈善目的或崇高目标，而实际上RobinHood勒索软件与其他勒索软件攻击没有区别.

处理RobinHood勒索软件感染

应对RobinHood Ransomware和类似感染的最佳方法是在安全程序的帮助下完全消除RobinHood Ransomware威胁，然后使用文件备份恢复受攻击的文件。积极地，文件备份是抵御诸如RobinHood Ransomware这样的勒索软件木马的最佳保护。 PC安全分析师强烈建议计算机用户在移动存储工件或云上定期更新其文件副本。有权访问备份将取消骗子的策略，使计算机用户可以在遭受攻击后恢复其文件。

RobinHood分别针对每个系统

恶意软件研究人员已经对RobinHood勒索软件的稀缺样本之一进行了逆向工程，他们的分析揭示了一些有趣的功能。执行后，恶意软件会使用特定命令从受感染的计算机断开所有网络共享，这意味着来自同一网络的其他计算机不会通过连接的共享进行加密。相反，RobinHood分别针对每台计算机，这表明攻击者通过域控制器或EmpirePowerShell或PSExec之类的框架将恶意有效载荷推至每台计算机。然后，恶意软件尝试从Windows临时文件夹中读取RSA加密密钥。如果找不到此类密钥，RobinHood将显示一条消息，提示系统找不到指定的文件，然后退出执行。但是，如果存在搜索到的密钥，则勒索软件将继续进行文件加密。下一步，该恶意软件退出181与数据库，防病毒和邮件服务器程序以及任何其他可使文件保持打开状态并阻止其加密的软件有关的Windows服务。接下来，在此准备阶段，RobinHood清除事件日志，“卷影复制”并禁用Windows自动修复功能。

RobinHood创建了四个赎金票据

一切准备就绪后，RobinHood开始实际的加密，为每个文件创建一个AES密钥。然后，AES密钥被锁定，而原始文件名使用公共RSA密钥加密并更改为“ Encrypted_ [randomstring] .enc_robbinhood”（例如：Encrypted_b0a6c73e3e434b63.enc_robinhood”）。该勒索软件会跳过某些目录中的文件，例如程序数据，Windows，引导，临时，程序文件，tmp，AppData，系统卷信息等。 RobinHood的另一个不常见的功能是，它在C：\ Windows \ Temp文件夹中创建了许多名为“ rf_s”，“ ro_1”和“ ro_s”的日志文件，这些文件在加密完成后将被删除。 “ rf_s”文件在每个文件夹中记录了赎金记录的创建，但是，其他日志文件的用途尚不清楚。在某些情况下，最后一条消息“ Done，Enjoy buddy :)））出现，表明加密已完成。

在加密过程中，勒索软件会创建四个名为“ _Help_Help_Help.html”，“ _ Decrypt_Files.html”，“ _ Help_Important.html”和“ _Decryption_ReadMe.html”的不同勒索笔记。这些勒索笔记会通知受害者有关受害者发生了什么事。文件，并说明应用于支付赎金的比特币地址。 RobinHood的最新变体需要3个比特币才能解密一个受影响的系统，而整个网络需要13个比特币. 一些较旧的变体要求所有受影响的系统使用7比特币。也有报道称，从加密的第四天开始，一些RobinHood样本威胁要对不付款的受害者每天罚款10,000美元。在许多勒索软件威胁中没有发现的另一个有趣的细节是其创建者提出了令人惊讶的主张。他们表示，他们珍视受害者的隐私，并会在支付赎金后立即删除与特定用户有关的所有数据，例如IP地址或加密密钥。另外，RobinHood的联系页面还说，由于为每个受害者新设置了一个单独的比特币地址，因此无法跟踪赎金的支付。攻击者也坚持诚实-他们提供免费解密三个大小不超过10 MB的文件。

RobinHood勒索软件的重大攻击

RobinHood的已知重大攻击之一发生在2019年5月7日，当时巴尔的摩市政府瘫痪了数周。当时的新闻社报道说，国家安全局开发的一种黑客工具已经破坏了该市政府的服务器，该工具已落入网络罪犯手中。后来，证实事件是由RobinHood Ransomware引起的。这次攻击的结果是，该城市的所有数字内容都被锁定，因此政府电子邮件被关闭，无法进行房地产交易，也无法在线向市政部门付款。巴尔的摩市市长表示，该市不会支付要求的13比特币（相当于100,000美元）的赎金，而联邦调查局和特勤局则开始了调查。罗宾霍德（RobinHood）的另一起袭击事件于2019年4月影响了北卡罗来纳州格林威尔市的网络。负责此事的法律当局和网络安全专家目前也正在为此工作。

SpyHunter 检测并删除 RobinHood勒索软件

RobinHood勒索软件 截图