找回密码 立即注册
查看: 883|回复: 2

[转载] “大头”勒索软件三宗罪:伪装Windows更新、勒索、开后门

[复制链接]

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
发表于 2024-8-29 11:43:25 | 显示全部楼层 |阅读模式
转自:http://bbs.ikaka.com/showtopic-9357203.aspx


瑞星威胁情报中心捕获一个名为“大头”的勒索软件,该勒索软件不仅会加密用户磁盘文件,还会安装开源的窃密程序,进行文件窃取、图片截屏、目录检索、上传或下载文件等恶意行为。现瑞星发布“大头”勒索软件独家免费解密工具,以帮助被加密用户解密受害文件。

(下载地址:http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe






伪装成Windows更新或Word安装程序加密文件

瑞星安全专家介绍,“大头”勒索软件最早发现自2023年5月,该勒索软件使用.NET编写,结合了Power Shell脚本来共同完成攻击,至今已出现多个变种。通过分析发现,“大头”勒索软件疑似伪装成虚假的Windows更新或Word安装程序,诱导受害者下载并进行传播。其启动后会遍历所有磁盘,修改受害者屏幕壁纸,并释放勒索信,加密特定文件,在加密完成后弹出Windows PowerShell凭证请求,提示受害者如果需要解密,可通过邮箱联系。





图:“大头”勒索软件加密后释放的勒索信




图:被勒索软件修改后的屏幕壁纸


下载后门程序窃取数据

值得注意的是,“大头”勒索软件在进行加密的同时,还会在受害者电脑上下载并安装开源的窃密后门软件——WorldWind Stealer。该后门软件常被用于进行文件和数据资料的窃取,会收集受害者电脑内文件、图片、音频、主机软硬件版本、浏览器等各类信息,回传给攻击者。

在《2022年中国网络安全报告》中,瑞星安全专家就已对未来勒索软件进行过预测分析:勒索攻击者为了更好地保障自身利益,在攻击过程中会将数据窃取作为辅助手段,一旦勒索不成功,便可以通过售卖数据以牟取利益。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
 楼主| 发表于 2024-8-29 11:48:08 | 显示全部楼层
独家解密工具:

由于“大头”勒索软件使用了开源对称算法的文件加密程序,因此经过瑞星安全专家的技术分析发现,被加密的文件是能够进行解密恢复的。同时瑞星发布免费解密工具,具体使用方法如下:




图:“大头”勒索软件解密工具

第一步,点击【选择路径】按钮,找到要解密的文件夹目录随后点击确定。

时中间的文本框中将会展示要解密的文件夹路径。


第二步,点击【开始解密】按钮,对文件夹内被加密的文件进行解密,解密完成时提示完成解密的文件数量



解密不会删除原始文件,完成解密后的文件将恢复原本的后缀格式。


解密前后数据效果展示:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
 楼主| 发表于 2024-8-29 11:48:53 | 显示全部楼层
预防措施:

由于勒索软件不再只是进行加密勒索攻击,而趋于窃取、售卖数据获利,因此无论是个人还是企业用户,都应提高警惕,加强防范。

1. 部署网络安全态势感知、预警系统等网关安全产品。


网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

2. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。


杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。目前,瑞星旗下产品已可查杀“大头”勒索软件和相关窃密程序,广大用户可安装使用。




图:瑞星ESM防病毒终端安全防护系统查杀勒索软件与窃密程序



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表