ThunderCrypt勒索软件

ThunderCrypt勒索软件是一个勒索软件木马，用于感染计算机以勒索计算机用户。 ThunderCrypt勒索软件于2017年5月首次被发现，它似乎是独立感染而不是较大家庭的一部分。 PC安全研究人员怀疑，ThunderCrypt Ransomware是使用损坏的垃圾邮件附件发送的，这些附件滥用宏中的漏洞来在受害者的计算机上执行损坏的代码。人们还发现，ThunderCrypt勒索软件是Adobe Flash Player的虚假更新，它是一种常见的策略，多年来已在许多威胁变体中得到了体现。

ThunderCrypt勒索软件如何进行攻击

当受害者暴露于ThunderCrypt Ransomware的下载器中时，用户帐户控件将显示以下消息：

'用户帐户控制
您是否要允许来自
未知的发布者要更改
你的设备？
install_flash_player_ax.exe
发布者未知
文件来源：此计算机上的硬盘驱动器'

单击“确定”，将弹出一个名为“ Adobe Flash Player 25.0安装程序”的窗口，并显示进度栏和所有内容。片刻之后，将显示以下错误消息：

'Adobe Flash Player 25.0安装程序
安装遇到错误：
您的Microsoft Internet Explorer浏览器包括最新的Adobe Flash Player
内置的Windows Update将在Flash Player新增功能时通知您
有空'

ThunderCrypt勒索软件将继续在后台运行，对受害者的文件进行加密。 ThunderCrypt勒索软件将针对用户生成的文件，其中可能包括图像，文本文件，视频以及由AutoCAD，Microsoft Office，Libre Office，Adobe Photoshop等程序生成的文件。加密受害者文件的整个文件，在后台运行，而不会向攻击者发出警报。 ThunderCrypt勒索软件将使用文件扩展名'.thundercrypt'标记受攻击的文件。

如何使用ThunderCrypt勒索软件以牺牲受害者为代价来牟利

ThunderCrypt勒索软件使用AES和RSA加密的组合，使得没有解密密钥就无法恢复加密的文件。 ThunderCrypt勒索软件将要求支付0.345比特币（按当前汇率约合650美元）以获取解密密钥。 ThunderCrypt勒索软件将受害者的文件劫为人质，直到赎金支付为止。 ThunderCrypt勒索软件在带有以下文本的赎金通知中显示其赎金要求：

'下午好！
我们已经加密了您的所有个人文件！要查看加密文件列表！
我们使用混合RSA-2048公钥加密进行了此操作。基本上，这意味着没有私钥就无法解密文件。私钥存储在我们的服务器上。
确实，我们可以恢复您的文件。您只需要在截止日期之前向我们付款（请参阅倒计时）。否则，私钥将从我们的服务器中安全删除，并且您将永远丢失加密文件。
将所需的金额（见左侧）转移到下面的比特币地址，该地址仅是为您的付款生成的。如果您不知道如何使用比特币或在哪里购买比特币，请单击此处。一旦确认交易，解密将自动开始。确认交易通常需要30分钟左右。您将收到有关任何进度的通知。
[随机字符]
警告。防病毒软件可能会删除该程序，但无法解密您的文件。因此，最好暂时禁用您的防病毒软件，因为如果此程序损坏，我们将无法解密您的文件。另外，请勿修改任何加密文件，否则即使我们也无法恢复它们。
如果您有任何疑问或在付款方面遇到任何问题，请随时与我们联系。
同样，我们可以免费解密一个文件，最大解密容量为3 MiB，以证明可以解密。

PC安全研究人员建议计算机用户不要支付ThunderCrypt Ransomware赎金。这使欺诈者能够继续制造这些威胁。此外，无法保证这些人会遵守诺言并帮助受害者恢复受影响的文件。