号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?
|
副标题[/!--empirenews.page--]
最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。
也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。 这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。 用户:??? 软件特性 根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后的攻击者目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。 虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的样式。 当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别是_Decryption_ReadMe.html,_Decrypt_Files.html,_Help_Help_Help.html和_Help_Important.html。 这些赎金记录文档将会记录所有有关受害用户计算机上所发生的事件,包括赎金金额,以及他们所用的Tor网站链接信息等。用户可以在这些网站上给攻击者留言或解锁3个不超过10MB的文件。 赎金票据中所使用的地址是:
不同的票据对应不同的金额,具体则是取决于用户想要解锁单个文件还是整个计算机或者是整个网络。 例如,我们看到的赎金票据所显示的价格分别是3个比特币和7个比特币。并且还带有额外的注释,在被加密四天之后若仍未支付,赎金将会变为10000美元。 罗宾汉在关注你的隐私? 在勒索软件的支付页面上,RobbinHood的开发人员表示,他们一直在关注用户的隐私,并且在用户付款之后会删除相应的加密密钥和用户IP地址。 然而,更有趣的是,他们告知受害者不必费力去举报他们,因为他们目前所处的境地隐秘且安全。 简而言之,举报了也没用。 安全专家表示,这是第一次看见勒索软件给用户提意见,并且还声明他们会保护受害者被软件感染的数据。他们还暗示受感染的企业可以支付赎金并且不会对外宣传他们遭受勒索的负面消息。 很神奇的操作。 罗宾汉的战利品 目前,被RobbinHood攻击的范围已覆盖了美国北卡罗来纳州格林维尔市的整个网络。 根据北卡罗来纳州新闻报道,该城市几日前被恶意软件RobbinHood袭击,在确定损失之后不得不关闭了整个城市的网络。随后联系了执法部门,当前多个机构正联合调查此次袭击事件。 不幸的是,格林维尔并不是唯一受到攻击的城市。BleepingComputer和MalwareHunterTeam昨日联合发布了关于勒索软件的推文,表示一直在关注本次事件的受害者。另外,MalwareHunter表示这些受害者都还没有支付过赎金。 IOCs 关联文件名:
赎金备注文本: 您的文件怎么了? 您的所有文件都被使用RSA-4096的方式加密了,详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem) RSA是现代计算机用于加密和解密数据的算法,是一种非对称加密算法。 不对称意味着有两个不同的键。因此也被称为是公钥加密,因为其中的任何一个密钥都可给别人:
您的数据是否还拿的回来? 答案是肯定的。我们有一个包含所有私钥的解密工具。只需要按我们说的操作,就可以获取您的数据: 方案1
方案2
支付比特币的地址是:xxxxxxxxxxx 留言地址:http://xbt4titax4pzza6w.onion/xxxx/ 备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/ https://xbt4titax4pzza6w.onion.to/xxxx/ 请使用洋葱浏览器访问网址。 如果您无法访问链接,请按如下步骤操作:
如果在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。 如果您想要确认我们是否真的拥有解密工具,您可以在网站上上传3个不超过10MB的文件,我们将会证明一切。 比特币哪里买? 最简单的方式是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”来获取更多渠道。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
