RobinHood勒索軟件

RobinHood勒索軟件（RobbinHood Ransomware或RobbinHood File Extension Ransomware）是一種勒索軟件木馬，用於以提高也門人民的知名度和資金為藉口來騷擾計算機用戶。實際上，沒有證據支持RobinHood Ransomware的創建者俱有利他動機的理論。騙子有可能使用RobinHood勒索軟件來牟利，就像大多數加密勒索軟件特洛伊木馬程序的創建者如今一樣。但是，對於RobinHood Ransomware而言，勒索要求非常高，因此，任何個人計算機用戶在遭受攻擊時都不太可能會支付RobinHood Ransomware勒索。採取預防措施來防範諸如RobinHood Ransomware之類的勒索軟件木馬，這種木馬正日益普及。

也門也有羅賓·胡德

RobinHood Ransomware感染幾乎沒有什麼不同。 RobinHood勒索軟件幾乎與大多數其他加密勒索軟件木馬相同。 RobinHood勒索軟件將加密受害者的文件，然後要求勒索贖金，以換取恢復受影響文件所必需的解密密鑰。 RobinHood勒索軟件包含聲稱為也門人民服務的消息，其中提及沙特阿拉伯在也門殺害無辜者。 RobinHood勒索軟件可以通過多種方式安裝在受害者的計算機上。與RobinHood Ransomware鏈接的最常見分發方法是損壞的網站和鏈接，通常使用垃圾郵件消息或社交媒體上的策略進行分發。 RobinHood勒索軟件包括一個宣傳圖片而不是標準的贖金票據，更改了受害者的桌面圖片，以反映其據稱為也門人民籌款的目的。 RobinHood勒索軟件將加密大量文件，尤其是針對與Microsoft Office相關的媒體文件，照片和文檔。 RobinHood Ransomware的桌面圖像顯示為“ HELP YEMEN”，並包含一條消息，指示受害者採取若干步驟進行恢復。 RobinHood Ransomware還將在受感染計算機的桌面上放置一個文本文件。該文件名為“ READ_IT.txt”，其中包含以下贖金記錄，該贖金記錄顯示在受感染的計算機上：

幫助也門
沙特阿拉伯的本·薩勒曼（Bin Salman）正在轟炸，製造飢荒和疾病，殺死也門的貧窮和無辜人民！
您作為沙特阿拉伯人或其活動的支持者，是他殺人案的伙伴。因此，您遭受了勒索軟件攻擊，必須接受以下其中一項：
a）放棄所有信息
b）支付五個比特幣來幫助也門人民。
比特幣地址= 1ENn1BelaKXBotiGuAFE1Yrin3e3vBjUAQH
並將交易鏈接發送到：decrypter.files@gmx.com
c）使用高音譴責本·塞爾曼（Bin Selman）的罪行，並要求他停止與也門的戰爭，並讓100位用戶轉推。

RobinHood Ransomware要求的五個比特幣的數字目前接近14000美元，這使得普通計算機用戶不太可能支付贖金來恢復其文件。此外，沒有證據表明騙子會用這些贖金來幫助也門人民。實際上，PC安全分析師以前曾處理過“無私”勒索軟件，後者也提出類似的說法，即勒索金額將用於慈善目的或崇高目標，而實際上RobinHood勒索軟件與其他勒索軟件攻擊沒有區別.

處理RobinHood勒索軟件感染

應對RobinHood Ransomware和類似感染的最佳方法是在安全程序的幫助下完全消除RobinHood Ransomware威脅，然後使用文件備份恢復受攻擊的文件。積極地，文件備份是抵禦諸如RobinHood Ransomware這樣的勒索軟件木馬的最佳保護。 PC安全分析師強烈建議計算機用戶在移動存儲工件或云上定期更新其文件副本。有權訪問備份將取消騙子的策略，使計算機用戶可以在遭受攻擊後恢復其文件。

RobinHood分別針對每個系統

惡意軟件研究人員已經對RobinHood勒索軟件的稀缺樣本之一進行了逆向工程，他們的分析揭示了一些有趣的功能。執行後，惡意軟件會使用特定命令從受感染的計算機斷開所有網絡共享，這意味著來自同一網絡的其他計算機不會通過連接的共享進行加密。相反，RobinHood分別針對每台計算機，這表明攻擊者通過域控制器或EmpirePowerShell或PSExec之類的框架將惡意有效載荷推至每台計算機。然後，惡意軟件嘗試從Windows臨時文件夾中讀取RSA加密密鑰。如果找不到此類密鑰，RobinHood將顯示一條消息，提示系統找不到指定的文件，然後退出執行。但是，如果存在搜索到的密鑰，則勒索軟件將繼續進行文件加密。下一步，該惡意軟件退出181與數據庫，防病毒和郵件服務器程序以及任何其他可使文件保持打開狀態並阻止其加密的軟件有關的Windows服務。接下來，在此準備階段，RobinHood清除事件日誌，“卷影複製”並禁用Windows自動修復功能。

RobinHood創建了四個贖金票據

一切準備就緒後，RobinHood開始實際的加密，為每個文件創建一個AES密鑰。然後，AES密鑰被鎖定，而原始文件名使用公共RSA密鑰加密並更改為“ Encrypted_ [randomstring] .enc_robbinhood”（例如：Encrypted_b0a6c73e3e434b63.enc_robinhood”）。該勒索軟件會跳過某些目錄中的文件，例如程序數據，Windows，引導，臨時，程序文件，tmp，AppData，系統卷信息等。 RobinHood的另一個不常見的功能是，它在C：\ Windows \ Temp文件夾中創建了許多名為“ rf_s”，“ ro_1”和“ ro_s”的日誌文件，加密完成後將其刪除。 “ rf_s”文件在每個文件夾中記錄了贖金記錄的創建，但是，其他日誌文件的用途尚不清楚。在某些情況下，最終消息“ Done，Enjoy buddy :)））出現，表明加密已完成。

在加密過程中，勒索軟件會創建四個名為“ _Help_Help_Help.html”，“ _ Decrypt_Files.html”，“ _ Help_Important.html”和“ _Decryption_ReadMe.html”的不同勒索筆記。這些勒索筆記會通知受害者有關受害者發生了什麼事。文件並說明應用於支付贖金的比特幣地址。 RobinHood的最新變體需要3個比特幣才能解密一個受影響的系統，而整個網絡需要13個比特幣. 一些較舊的變體要求所有受影響的系統使用7比特幣。也有報導稱，從加密的第四天開始，一些RobinHood樣本揚言要對不付款的受害者每天罰款10,000美元。在許多勒索軟件威脅中沒有發現的另一個有趣的細節是其創建者提出了令人驚訝的主張。他們表示，他們珍視受害者的隱私，並會在支付贖金後立即刪除與特定用戶有關的所有數據，例如IP地址或加密密鑰。此外，RobinHood的聯繫頁面還說，由於為每個受害者重新設置了一個單獨的比特幣地址，因此無法跟踪贖金的支付。攻擊者也堅持誠實-他們提供免費解密三個大小不超過10 MB的文件。

RobinHood勒索軟件的重大攻擊

RobinHood的已知重大攻擊之一發生在2019年5月7日，當時巴爾的摩市政府癱瘓了數週。當時的新聞機構報導說，國家安全局開發的一種黑客工具已經破壞了該市政府的服務器，該工具已落入網絡罪犯手中。後來，證實事件是由RobinHood Ransomware引起的。這次襲擊的結果是，該城市的所有數字內容都被鎖定，因此政府電子郵件被關閉，無法進行房地產交易，也無法在線向市政部門付款。巴爾的摩市市長表示，該市不會支付要求的13比特幣（相當於100,000美元）的贖金，而聯邦調查局和特勤局則開始了調查。羅賓霍德（RobinHood）的另一起襲擊事件於2019年4月影響了北卡羅來納州格林威爾市的網絡。負責此事的法律當局和網絡安全專家也正在研究此案。

SpyHunter 检测并删除 RobinHood勒索軟件

RobinHood勒索軟件 截图