Adame勒索軟件
一些技術嫻熟的網絡騙子更喜歡構建和定制獨特的惡意軟件,並為此感到自豪。然而,其他人寧願放輕鬆,也仍然可以賺取一些利潤,最好是花最少的精力。這樣的人喜歡將其惡意軟件的創建基於已經存在的,完善的威脅的代碼。 Adame Ransomware的創建者就是這種情況。該文件加密木馬是臭名昭著的Phobos Ransomware的變體。
目錄
Phobos勒索軟件的分支
通過仔細檢查其代碼,安全研究人員現在已將Adame的結構與討厭的Phobos勒索軟件家族的結構聯繫在一起。但是,攻擊背後的黑客團體在很大程度上掩蓋了其身份,因此安全分析人員無法得知安達姆是否被與火衛一背後的犯罪團伙利用。儘管Adame的代碼類似於Phobos的代碼,但是Adame附加了一個不同的擴展名-所有加密的文件都使用以下模式重命名:
- [File_name] .id。[victim_ID] [supportcrypt2019@cock.li]。阿達姆
- [文件名] .id。[受害者ID] [raynorzlol@tutanota.com]。阿達姆
在此階段,沒有免費的解密器可用於逆轉Adame Ransomware加密。
感染載體
與其他Phobos Ransomware的形式相同,Adame Ransomware部署了基於垃圾郵件活動,網絡惡意廣告和文件共享平台的網絡釣魚攻擊組合,以在數千個PC系統中廣泛傳播。在垃圾郵件中,只要不小心PC用戶同意啟用宏即可查看附件文檔的內容(無論是電子表格,文本文件還是演示文稿文件),就會啟動Adame Ransomware。或者,電子郵件中可能包含指向包含Adame Ransomware有效負載以及垃圾郵件中宣傳的軟件的軟件包的URL。另一方面,惡意嘗試會提示站點訪問者安裝特定的瀏覽器附加組件,以開始勒索軟件攻擊。最後但並非最不重要的一點是,文件共享服務也為進一步分發惡意軟件提供了足夠的空間。
損害已經完成
啟動後,Adame Ransomware將執行一系列不可阻擋的動作。首先,它收集遇到的任何個人和系統配置詳細信息。如果找到任何AV軟件,Adame會創建屏蔽軟件以逃避檢測。最後,勒索軟件會修改系統的註冊表和啟動設置,以確保它每次在系統啟動期間啟動。雖然早期的Adame Ransomware攻擊主要集中在加密用戶而非系統數據上,但最近的報告表明Adame的開發人員已經對其進行了一些調整。結果,當攻擊網絡連接的PC時,Adame現在會傳播到所有映射的驅動器,對用戶和Windows系統文件都進行加密。一旦Adame完成了數據加密,它就會在受害人的桌面上繪製一對文檔-名為Info.hta的彈出HTML和Info.txt記事本文件。
感染和加密
尚不清楚Adame Ransomware的作者選擇使用哪種傳播方法來傳播其創作. 但是,有人推測,傳播勒索軟件威脅的最常見方法可能在這裡發揮作用,即垃圾郵件活動,受感染的盜版應用程序和偽造的軟件更新。當Adame Ransomware設法侵入系統時,它會通過觸發掃描來發起攻擊。該掃描旨在查找Adame Ransomware編程要定位的所有文件。掃描完成後,Adame Ransomware將開始加密目標文件。加密後,文件的名稱會更改。 Adame Ransomware添加了一個'.id [
贖金記錄
接下來,Adame Ransomware刪除了一個名為" encrypted.hta"的贖金票據。贖金記錄如下:
'您的所有文件都已加密!
由於PC的安全性問題,所有文件均已加密。如果要還原它們,請給我們發送電子郵件至supportcrypt2019@cock.li
在您的郵件標題中寫這個ID 1E857D00-2275
如果24小時內無人接聽,請給我們發送電子郵件至:supportcrypt2019@protonmail.com
您必須為比特幣的解密支付費用。價格取決於您寫給我們的速度。付款後,我們將向您發送用於解密所有文件的工具。
免費解密作為保證
付款之前,您最多可以向我們發送5個文件以進行免費解密。文件的總大小必須小於4Mb(未歸檔),並且文件不應包含有價值的信息。 (數據庫,備份,大型Excel工作表等)
如何獲得比特幣
購買比特幣最簡單的方法是LocalBitcoins網站。您必須註冊,單擊"購買比特幣",然後按付款方式和價格選擇賣方。
hxxps://localbitcoins.com/buy_bitcoins
您也可以在這裡找到其他購買比特幣的地方和初學者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!
不要重命名加密文件。
請勿嘗試使用第三方軟件解密數據,否則可能會導致永久性數據丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲(它們會增加我們的費用),或者您可能成為騙局的受害者。"
Adame Ransomware的作者沒有提及特定的贖金費用。相反,他們聲稱價格取決於受害者與他們聯繫的速度,這聽起來像是一種常見的社會工程技術。只要總大小不超過4MB,攻擊者便可以免費解密多達五個文件。通常這樣做是為了向受害者證明攻擊者俱有有效的解密密鑰。 Adame Ransomware的作者清楚地表明,他們希望以比特幣的形式支付贖金,這在處理網絡犯罪分子時是常見的要求,因為加密貨幣可幫助他們保護自己的匿名性並避免麻煩。攻擊者給出了兩個他們想要聯繫的電子郵件地址-" supportcrypt2019@cock.li"和" supportcrypt2019@protonmail.com"。
我們強烈建議您遠離Adame Ransomware的作者以及一般的網絡騙子。與這些人進行談判不會有什麼好處。相反,請確保下載並安裝信譽良好的防病毒軟件套件,該套件將使您擺脫Adame Ransomware的影響並確保系統的安全。
