Lucky勒索軟件

Lucky勒索軟件 介紹

Lucky Ransomware是一種加密勒索軟件木馬,於2018年11月中旬被發現,當時它感染了金融領域一些公司的服務器。勒索軟件威脅旨在使用加密算法來使受害者的文件不可訪問,以便他們可以要求勒索贖金,以換取對受影響數據的重新訪問。對這種惡意軟件的分析表明,它與以前檢測到的名為Satan的勒索軟件具有幾乎相同的結構和相同的CNC服務器。撒旦勒索軟件本身已經隨著時間的推移而發展,將其利潤來源從勒索變成了挖礦,而目前,威脅參與者將新的變種Lucky結合了加密貨幣挖礦功能和勒索功能。

幸運是撒旦勒索軟件的變種

Lucky Ransomware設計要執行的主要功能是文件加密,傳播和挖掘。 Lucky使用AES加密算法進行文件加密,Lucky使用某些眾所周知的服務器端漏洞進行傳播,同時為了獲取更多利潤從惡意軟件中進行挖掘,使用了一個自建的礦池地址。由Satan Ransomware使用。 Lucky的總體架構與Satan Ransomware的架構相匹配。它包含幾個組件,例如一個名為“ fast.exe / ft32”的非常小的文件,該文件預加載了傳播和加密模塊。然後,惡意軟件使用名為“ cpt.exe / cry32”的加密模塊對文件進行加密,而傳播模塊“ conn.exe / conn32”則通過利用相應的系統漏洞來傳播惡意軟件。最後,一個名為“ mn32.exe / mn32”的挖掘模塊建立了與礦池地址的連接,一個名為“ srv.exe”的服務模塊通過創建Windows服務來確保穩定的執行。

幸運的勒索軟件不會給受害者帶來任何好運

Lucky Ransomware感染Windows和Linux平台,並且具有蠕蟲狀的設計,可以利用Windows和Linux服務器平台中的十個不同且眾所周知的漏洞,自行傳播,而無需任何人為乾預。網絡安全專家已成功識別出這些漏洞,它們是:

  • JBoss反序列化漏洞(CVE-2013-4810,CVE-2017-12149)
  • JBoss默認配置漏洞(CVE-2010-0738)
  • Spring Data Commons遠程代碼執行漏洞(CVE-2018-1273)
  • Windows SMB遠程執行代碼漏洞(MS17-010)
  • Tomcat任意文件上傳漏洞(CVE-2017-12615)
  • Tomcat Web管理控制台後台弱密碼暴力破解攻擊
  • WebLogic任意文件上傳漏洞(CVE-2018-2894)
  • WebLogic WLS組件漏洞(CVE-2017-10271)
  • Apache Struts 2遠程代碼執行漏洞(S2-045)
  • Apache Struts 2遠程執行代碼漏洞(S2-057)

幸運的勒索軟件具有廣泛的感染風險,因為所有這些漏洞都易於利用,並且實際利用都可以在Internet上公開獲得。這使得威脅參與者幾乎無需自定義惡意軟件腳本即可攻擊易受攻擊的系統。尚未修補其係統的組織面臨更高的風險,因為一些已利用的漏洞已在幾個月前宣布。

用戶生成的文件是加密的主要目標

為了加密文件,惡意軟件會遍歷文件夾並通過其特定擴展名找到目標文件。. 勒索軟件會跳過受感染機器正常運行所需的系統文件,而由Lucky加密的目標文件包括各種用戶生成的文件,例如多種媒體文件類型,文檔,數據庫等:

.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

受到攻擊的所有文件都會通過添加聯繫電子郵件,隨機字符串和文件擴展名“ .lucky”來重命名,所有文件都將添加到受攻擊的數據中。 2018年12月的另一個分析樣本使用“ .nmare”代替“ .lucky”作為損壞文件的名稱。

幸運勒索軟件的勒索需求

犯罪分子有理由要求受害者支付贖金,因為像Lucky Ransomware這樣的威脅旨在對受害者的文件進行加密。 Lucky Ransomware勒索要求包含在名為“ _How_To_Decrypt_My_File_.txt”的文本文件中,該文件放置在受感染計算機的桌面上。在其他一些示例中,贖金記錄文件名為“ How_To_Decrypt_My_File”。以下是幸運勒索贖金記錄中包含的文本:

'很抱歉告訴你。

有些文件已加密

如果您想退回文件,請向我的錢包發送1比特幣

我的錢包地址:3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd

如果您有任何疑問,請與我們聯繫。

電子郵件:[nmare@cock.li]'

Lucky Ransomware的贖金記錄應被忽略,應避免支付與Lucky Ransomware等威脅相關的任何贖金!

保護您的數據免受諸如幸運勒索軟件的威脅

防範Lucky Ransomware等威脅的最佳方法是擁有文件的備份副本。如果將這些備份副本存儲在安全的位置(例如雲)中,則可以更安全。除了文件備份之外,計算機用戶還應安裝一個安全程序,該程序雖然不能還原加密的數據,但可以阻止首先安裝Lucky Ransomware。. 由於勒索軟件攻擊通常利用保護不力的網絡以及過時的軟件和操作系統的優勢,因此,計算機用戶必須確保其計算機始終處於最新狀態並受到充分保護,免受惡意軟件威脅,這一點很重要。

您是否擔心您的計算被Lucky勒索軟件 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如Lucky勒索軟件的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

由於安全問題,您無法下載SpyHunter或訪問網絡?

解決方案: 您的計算機可能在內存中隱藏了惡意軟件,以防止任何程序(包括SpyHunter)在您的計算機上執行。請按照說明下載SpyHunter並訪問網絡:
  • 使用備用瀏覽器。惡意軟件可能會禁用您的瀏覽器。例如,如果您正在使用IE,並且在下載SpyHunter時遇到問題,您可以使用Firefox、Chrome或Safari瀏覽器。
  • 使用可移動媒體。在另一臺計算機上下載SpyHunter,將其刻錄到USB閃存驅動器、DVD/CD或任何常用的可移動媒體,然後將其安裝在受感染的計算機上並運行SpyHunter的惡意軟件掃描程序。
  • 以安全模式啟動Windows。如果您無法訪問Windows桌面,請在“帶網絡連接的安全模式”下重啟您的計算機並在安全模式下安裝SpyHunter
  • IE用戶:禁用Internet Explorer的代理服務器以使用Internet Explorer瀏覽網頁,或更新您的反間諜軟件程序。惡意軟件會修改您的Windows設置以使用代理服務器來阻止您使用IE瀏覽網頁。
如果您仍然無法安裝SpyHunter? 查看安裝問題的其他可能原因。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。