AntiHacker Ransomware
保護個人和企業資料免受現代惡意軟體威脅已不再是可有可無的,而是營運的必要條件。勒索軟體業者不斷改進其策略、工具和社會工程方案,以最大限度地破壞網路並勒索金錢。即使是規模較小的組織和家庭使用者也經常成為攻擊目標,如果沒有做好準備,恢復工作可能非常困難甚至不可能。 Xorist 家族的成員 AntiHacker 勒索軟體正是這樣的威脅。
目錄
威脅概述和譜系
AntiHacker 是一款由資訊安全研究人員發現的惡意程序,被歸類為 Xorist 勒索軟體家族。基於 Xorist 的威脅通常基於一個工具包框架構建,攻擊者可以自訂該框架,更改顯示的勒索資訊、檔案副檔名、語言元素和其他參數。 AntiHacker 遵循 Xorist 的慣用伎倆:加密受害者數據,然后索取贖金以換取所謂的解密金鑰。
文件加密行為和標記
一旦 AntiHacker 入侵系統,它就會在本機磁碟機以及可能映射的網路位置搜尋使用者可存取的資料。目標文件類型廣泛,包括文件、圖像、檔案、多媒體文件以及其他有價值的資料儲存。每個加密項目都會透過在原始檔案名稱末尾附加字串「.antihacker2017」進行重新命名。例如,最初名為“1.png”的文件將更改為“1.png.antihacker2017”;“2.pdf”將更改為“2.pdf.antihacker2017”;並且此模式在所有已處理的文件中重複。新增副檔名有兩個目的:它以視覺方式向受害者發出入侵訊號,並幫助勒索軟體識別其已處理過的項目。
勒索信、彈出窗口和壁紙訊息
完成加密程式後,AntiHacker 會修改受害者的桌面壁紙,並以兩種平行格式釋放勒索訊息:一個彈出視窗和一個名為「КАК РАСШИФРОВАТЬ ФАЙЛ彈出視窗和文字檔案中顯示的資訊內容相同。然而,壁紙版本包含額外的社會工程語言,聲稱攻擊的發生是因為使用者造訪了特定的成人網站或非法網站。這種羞辱性手段旨在迫使受害者迅速且悄無聲息地支付贖金。
字元編碼怪癖
在不使用西里爾字元集的系統上,彈出視窗中顯示的勒索文字可能會顯示為無法閱讀的亂碼。因此,受害者可能會看到損壞的訊息窗口,但仍能在釋放的文字檔案中找到可讀的指令。攻擊者通常會忽略本地化細節;防禦者可以利用這些資訊來聚集相關事件。
強制機制:關鍵入口限制和威脅聲明
贖金指示指出,受害者必須聯繫攻擊者才能獲得解密金鑰。此外,也設定了高壓限制:密鑰輸入次數不得超過50次,超過50次後,加密資料將永久遺失。此外,還警告稱,使用安全工具、重新啟動或關閉裝置將導致檔案無法解密。這些恐嚇手段在勒索軟體攻略中很常見,旨在阻止用戶尋求專業協助或嘗試安全的補救措施。
為什麼支付贖金是有風險的
AntiHacker(或任何勒索軟體)背後的網路犯罪分子在付款後無法保證提供有效的解密解決方案。付款的受害者通常一無所獲,收到的密鑰已損壞,或成為反覆勒索的目標。付款還會為正在進行的犯罪活動提供資金,並刺激進一步的攻擊。謹慎的做法是盡可能避免付款,並專注於您可控制的恢復途徑。
復甦的現實
從受感染的系統中刪除 AntiHacker 可以阻止進一步的檔案加密,但無法解密已鎖定的資料。最可靠的復原方法是從隔離、離線或惡意軟體無法觸及的備份中還原受影響檔案的乾淨副本。如果沒有可用的備份,資料復原選項將受到嚴重限制。
主要感染媒介
勒索軟體開發者依賴與其他惡意軟體類別相同的廣泛分發生態系統。 AntiHacker 也不例外。攻擊者經常將有效載荷偽裝成合法軟體,或將其與破解或盜版的程式、文件或安裝程式捆綁在一起。僅僅打開一個帶有陷阱的檔案就可能觸發下載或執行鏈。
- 透過電子郵件、私人訊息或直接訊息傳遞帶有惡意附件或嵌入連結的網路釣魚和社會工程誘餌。
- 未經用戶明確同意,從受感染或惡意網站發起的驅動或欺騙性下載。
- 一旦嵌入,木馬加載器和後門就會悄悄檢索並啟動勒索軟體。
- 不可信的下載來源,例如免費軟體網站、第三方託管頁面和點對點 (P2P) 檔案共享網路。
- 網路詐騙和惡意廣告活動將用戶重新導向至漏洞利用工具包或惡意負載。
- 非法軟體啟動工具(“破解”/密鑰產生器)和虛假軟體更新,安裝惡意軟體而不是合法補丁。
- 檔案(ZIP、RAR 等)、執行檔(EXE、RUN 等)、腳本檔案(例如 JavaScript)和文件格式(PDF、Microsoft Office、OneNote 等)被武器化以啟動感染鏈。
防禦策略概述
有效的勒索軟體防禦需要人員、流程和技術三重防護。您不能依賴單一的保護控制措施;必須假設至少有一層會失效。結合使用者意識、強化的配置、嚴格的修補程式、強大的備份實踐以及強大的偵測/反應能力,才能降低反駭客式入侵的可能性和影響。
- 維護重要資料的備份。
- 保持作業系統、應用程式和安全工具完全更新;及時套用補丁,特別是對於遠端存取和檔案共用服務。
- 使用信譽良好的反惡意軟體/端點偵測和回應 (EDR) 解決方案,並在支援的情況下具有行為勒索軟體偵測和自動回滾功能。
- 強制執行最低權限的使用者權利;在非管理員帳戶下執行日常任務並限制對共享資料儲存的寫入存取權限。
- 分割網路並限制橫向移動;將備份儲存庫和關鍵伺服器隔離在不同的存取層上。
- 要求遠端登入、特權作業和備份管理控制台採用多因素身份驗證 (MFA)。
結論
AntiHacker 勒索軟體展現了威脅行為者如何利用 Xorist 等基於工具包的勒索軟體家族來策劃強大的、針對特定區域的勒索方案。其資料加密、檔案名稱標記、多語言勒索訊息以及強制性訊息傳遞都旨在促使受害者付款。然而,最強大的應對措施仍然是做好準備:獨立備份、分層防禦、知情使用者以及嚴謹的回應計畫。投資這些防護措施的組織和個人可以將潛在的災難性勒索軟體事件轉化為可恢復的事件。
訊息
找到以下與AntiHacker Ransomware相關的消息:
|
Message shown as a desktop background image; Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Ваш данные были зашифрованы по причине того что с вашего IP Был зафиксирован доступ на Порно сайты: по ключевым запросам Гей-порно, порно с малолетками, инцест, изнасилование. Порно это Вред!!! Надеемся в будущем вы не будете посещать данные сайты." Вам на почту придёт инструкция по расшифровке ваших данных. Не пытайтесь запустить Антивирус. Он только навредит и исключит возможность расшифровки. Удачи. С Вами был Антихакер. |
|
Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru С кодом №83465178562201 У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Также не рекомендую выключать компьютер. Это также приведет к удалению Windows. Это не шутка и не прикол. Стоит перезагрузить компьютер и вы навсегда потеряете свои данные. |
