“大头”勒索软件三宗罪:伪装Windows更新、勒索、开后门
近日,瑞星威胁情报中心捕获一个名为“大头”的勒索软件,该勒索软件不仅会加密用户磁盘文件,还会安装开源的窃密程序,进行文件窃取、图片截屏、目录检索、上传或下载文件等恶意行为。现瑞星发布“大头”勒索软件独家免费解密工具,以帮助被加密用户解密受害文件。
图:“大头”勒索软件解密工具
伪装成Windows更新或Word安装程序加密文件
瑞星安全专家介绍,“大头”勒索软件最早发现自2023年5月,该勒索软件使用.NET编写,结合了Power Shell脚本来共同完成攻击,至今已出现多个变种。通过分析发现,“大头”勒索软件疑似伪装成虚假的Windows更新或Word安装程序,诱导受害者下载并进行传播。其启动后会遍历所有磁盘,修改受害者屏幕壁纸,并释放勒索信,加密特定文件,在加密完成后弹出Windows PowerShell凭证请求,提示受害者如果需要解密,可通过邮箱联系。
图:“大头”勒索软件加密后释放的勒索信
图:被勒索软件修改后的屏幕壁纸
下载后门程序窃取数据
值得注意的是,“大头”勒索软件在进行加密的同时,还会在受害者电脑上下载并安装开源的窃密后门软件——WorldWind Stealer。该后门软件常被用于进行文件和数据资料的窃取,会收集受害者电脑内文件、图片、音频、主机软硬件版本、浏览器等各类信息,回传给攻击者。
在《2022年中国网络安全报告》中,瑞星安全专家就已对未来勒索软件进行过预测分析:勒索攻击者为了更好地保障自身利益,在攻击过程中会将数据窃取作为辅助手段,一旦勒索不成功,便可以通过售卖数据以牟取利益。
独家解密工具:
由于“大头”勒索软件使用了开源对称算法的文件加密程序,因此经过瑞星安全专家的技术分析发现,被加密的文件是能够进行解密恢复的。同时瑞星发布免费解密工具,具体使用方法如下:
图:“大头”勒索软件解密工具
第一步,点击【选择路径】按钮,找到要解密的文件夹目录随后点击确定。
此时中间的文本框中将会展示要解密的文件夹路径。
第二步,点击【开始解密】按钮,对文件夹内被加密的文件进行解密,解密完成时提示完成解密的文件数量。
解密不会删除原始文件,完成解密后的文件将恢复原本的后缀格式。
解密前后数据效果展示:
预防措施:
由于勒索软件不再只是进行加密勒索攻击,而趋于窃取、售卖数据获利,因此无论是个人还是企业用户,都应提高警惕,加强防范。
l部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
l安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。目前,瑞星旗下产品已可查杀“大头”勒索软件和相关窃密程序,广大用户可安装使用。
图:瑞星ESM防病毒终端安全防护系统查杀勒索软件与窃密程序
