NEFILIM 勒索軟件
NEFILIM 勒索軟件是網絡安全專家在野外檢測到的威脅。勒索軟件威脅是普通用戶需要處理的最嚴重的威脅之一,因為這些木馬會潛入您的系統,鎖定您的所有數據,並要求付款以換取可幫助您恢復文件的軟件。更糟糕的是,大多數向勒索軟件威脅的創建者付款的用戶從未收到他們承諾的解密密鑰。
Nefilim 首次出現在 2 月底左右。專家們仍然不確定它是如何分發的,但很可能是通過使用遠程桌面服務。專家還同意 Nefilim 似乎與 Nemty 2.5 威脅共享一些相同的代碼。
這兩種病毒的主要區別在於 Nefilim 使用電子郵件通信,而不是通過 Tor 要求付款。 Nefilim 還刪除了勒索軟件即服務 (RaaS) 模型,它似乎是一種專有病毒。
目錄
傳播和加密
在傳播勒索軟件威脅時,垃圾郵件是最常用的感染媒介之一。這些攻擊活動通常涉及包含虛假消息和帶有宏的附件的電子郵件,一旦打開就會感染目標的計算機。傳播勒索軟件威脅的網絡犯罪分子也往往依賴於惡意廣告、虛假軟件下載/更新、torrent 跟踪器、各種應用程序的偽造盜版副本等。 NEFILIM Ransomware 一旦肯定會破壞您的系統,就會造成嚴重破壞。這種勒索軟件威脅很可能被編程為將其加密算法應用於您計算機上存在的所有文件。這意味著一切都不會倖免 - 圖像、音頻文件、文檔、檔案、電子表格、數據庫、演示文稿、視頻等。 當 NEFILIM Ransomware 完成鎖定您的文件時,您可能會注意到此威脅已通過附加額外的擴展。 NEFILIM Ransomware 添加了一個 '. NEFILIM' 對所有新鎖定文件的名稱進行擴展。例如,原本名為“blue-blood.mp3”的文件將重命名為“blue-blood.mp3”。尼菲林。
贖金記錄
NEFILIM Ransomware 的勒索消息包含在名為“NEFILIM-DECRYPT.txt”的文件中。在贖金票據中,攻擊者聲稱已使用軍用級加密算法對用戶數據進行加密。 NEFILIM Ransomware 的創建者為用戶提供了 7 天的聯繫期限。如果受害者沒有在截止日期前完成,攻擊者會聲明他們將開始在線洩露用戶的數據。 NEFILIM Ransomware 的作者要求用戶向他們發送兩個文件,他們將對其進行解密以證明他們擁有有效的解密密鑰。攻擊者提供了三個電子郵件地址作為通信手段——“jamesgonzaleswork1972@protonmail.com”、“pretty_hardjob2881@mail.com”和“dprworkjessiaeye1955@tutanota.com”。
贖金紙上寫著:
您的所有文件都已使用軍用級算法加密。
我們確保檢索您的數據的唯一方法是使用我們的軟件。
當我們的要求得到滿足時,我們將確保您快速安全地檢索您的數據。
恢復您的數據需要只有我們擁有的私鑰。
您的大量私人文件已被提取並保存在安全位置。
如果您在違規後的七個工作日內未與我們聯繫,我們將開始洩露數據。
在您與我們聯繫後,我們將向您提供文件已被提取的證明。
為了確認我們的解密軟件工作正常,我們從隨機計算機發送了 2 個文件給我們。
在您向我們發送測試文件後,您將收到進一步的說明。
jamesgonzaleswork1972@protonmail.com
Pretty_hardjob2881@mail.com
dprworkjessiaeye1955@tutanota.com
這種威脅過去並不值得關注,但時代已經變了。如今,隨著病毒威脅層出不窮,有大量證據表明黑客非常願意接受他們的攻擊。
我們建議您對計算機上的所有基本信息進行加密,並僅使用加密渠道傳輸這些信息。這有助於防止數據被盜或攔截。您應該定期備份數據,以便在發生數據丟失或勒索軟件攻擊時安全地恢復文件。您擁有的備份越多越好。
Nefilim 加密
Nefilim 使用 AES-128 加密算法加密文件。然後使用內置於勒索軟件可執行文件中的 RSA-2048 公鑰再次加密文件的加密密鑰。
加密的密鑰被添加到文件中,並且只能用 RSA 私鑰解密。攻擊背後的威脅行為者保留密鑰的唯一副本。 Nefilim 還將每個文件的文件擴展名更改為 .NEFILIM。例如,名為 ABC.doc 的文件將變為 ABC.doc.NEFILIM。
建議避免與網絡犯罪分子(例如負責 NEFILIM Ransomware 的人)接觸。網絡騙子很少信守承諾,即使您支付了所要求的贖金,您也可能永遠無法獲得恢復文件所需的解密密鑰。考慮下載並安裝正版反間諜軟件應用程序,它不僅可以安全地從您的計算機中刪除 NEFILIM Ransomware,而且可以在將來確保您的系統和文件安全。
