该病毒会考试测验加密机器中可访问的所有位置中的文件,包括网络驱动器、网络共享目录、移动磁盘、外部磁盘、内部磁盘,乃至是云存储运用程序中的文件都不会漏过。 CryptoWire利用AES-256算法对文件进行加密操作,会对282种格式的文件进行加密。此外,如果检测到机器接入到了域中(多为企业内部机器),赎金将会乘4。
282种待加密文件格式
检测到机器接入域中则赎金乘4
加密完成后的打单信息
不会脚本措辞也能写打单病毒——RaaS理解下?
所谓RaaS即Ransomware-as-a-Service,可能很多人还不理解这套机制。大略的说,便是病毒作者开拓了一款打单病毒,但并不自己传播,而是约请其他人来传播,并从每次成功赎金付款的抽成。
为了吸引更多的客户,打单病毒作者常日还会创建在线管理平台,以便尽可能轻松地支配和跟踪打单软件。
许多RaaS平台还供应定制选项,类似于打单金额、加密文件格式、打单信息措辞等均可定制,某些平台乃至还很知心的供应了在线的技能支持。
以Data Keeper RaaS为例,在客户供应了收取打单赎金用的比特币钱包地址打单赎金金额后,会天生打单病毒本体和对应的解密程序(但不含解密密钥)。
Data Keeper RaaS在线配置页面
此外,Data Keeper RaaS许可每个会员选择要加密的文件类型,这意味着不同版本的Data Keeper所加密的文件类型会有所不同。
Data Keeper RaaS默认供应的待加密文件类型(可自定义)
Saturn RaaS与Data Keeper RaaS环境类似,但供应的自定义项目略少一些:
Saturn RaaS的自定义赎金页面
Saturn RaaS的自定义病毒行为页面
传播也有简便方法——Exploit Kit的利用
与上述两款打单病毒不同,GandCrab打单病毒虽然也通过RaaS供应做事,但却并不像"大众开放,而是仅局限于一个相对较小的圈子中利用。
GandCrab RaaS管理后台登录界面
网传的GandCrab RaaS管理后台数据统计页面
虽然GandCrab RaaS并没有对降落打单病毒的制作技能门槛,但其传播办法却供应了一种降落传播技能门槛的方法——利用现成的漏洞利用套件(Exploit Kit,简称EK)来方便自身的传播。
GandCrab本身便是利用Rig EK通过Flash Player的CVE-2018-4878漏洞进行大规模传播的。
RIG EK传播GandCrab流程图
而新版的GandGrab打单病毒,又换用了Magnitude EK以图更好的传播:
Magnitude EK传播新版GandGrab流程图
从传播的速率来看,较之去年同期开始爆发的Spora打单病毒而言,合理利用了EK进行自身“推广”的GandGrab也一定有着明显的上风。
鉴于打单病毒无论是制作还是传播,其技能门槛都越来越低,这势必会造成打单病毒数量的进一步增长乃至是爆发。以是在此须要提醒广大用户把稳:
对主要的数据进行备份!
备份!
备份!
小心利用不明来源的文件,陌生邮件及附件也需谨慎打开
安装安全防护软件并保持防护开启状态
及时安装Windows漏洞补丁!
同时,也请确保一些常用的软件保持最新版本,特殊是Java,Flash和Adobe Reader等程序,其旧版本常常包含可被恶意软件作者或传播者利用的安全漏洞。
为电脑设置较强的密码——尤其是开启远程桌面的电脑。并且不要在多个站点重复利用相同的密码。
目前360解密大师已支持解密超过100种打单病毒加密的文件:
登录安全客 - 有思想的安全新媒体www.anquanke.com/,或下载安全客APP来获取更多最新资讯吧~
