新勒索軟體DynA-Crypt不僅要加密你的文件而且竊取並刪除它們

01-27

一個名為DynA-Crypt的新勒索軟體被GData公司的惡意軟體分析師Karsten Hahn發現，DynA-Crypt不僅能加密你的數據，而且試圖從受害者的計算機竊取大量信息。雖然勒索軟體和信息竊取感染已經變得越來越普遍，但當你把兩者結合到DynA-Crypt中，那攻擊的威力似乎變得非常大了。

問題是，這個勒索軟體是由許多獨立的可執行文件和PowerShell腳本組成，這些組合不但能它加密你的文件，還能竊取你的密碼和聯繫人，同時對你設備中的文件進行刪除。

DynA-Crypt在刪除你的數據時會竊取大量信息

根據PCrisk的分析，這個程序是由惡意軟體創建工具包創建的，允許任何攻擊者創建自己的惡意軟體。這就為任何人創建惡意攻擊工具提供了便利的條件，DynA-Crypt似乎就是這麼被大家這麼創建出來的。

雖然DynA-Crypt的勒索軟體功能具有很大的攻擊性，但真正的問題是這個程序會從計算機竊取的數據和信息。當受害者的設備運行時，DynA-Crypt將截取活動桌面，記錄系統聲音，記錄鍵盤上輸入的命令，以及從眾多安裝的程序中竊取數據。

DynACrypt竊取的項目和數據包括：

屏幕截圖的信息nSkype的通訊信息nSteam遊戲平台的信息nChrome瀏覽器的信息nThunderbird郵件信息nMinecraft遊戲的信息nTeamSpeak 團隊語音信息nFirefox瀏覽器的信息n錄音信息n

當DynA-Crypt竊取這些數據時，會將他們複製到一個名為％LocalAppData％ dyna loot 的文件夾中，當DynA-Crypt準備將其發送給開發人員時，它會將信息先全部壓縮到一個名為％LocalAppData％ loot的文件中，然後再發送。

問題是，在DynA-Crypt盜取了你的數據後，不知道是處於什麼原因，它會刪除了很多它盜竊過數據的文件夾。

不過令人氣憤的是，一般的惡意軟體竊取你的數據就完了，但DynA-Crypt在得到你數據的同時還會刪除了桌面上的所有東西，們甚至不偷取任何東西！

DynA-Crypt的勒索軟體部分由PowerShell腳本驅動，該腳本使用稱為AES的獨立程序來加密受害者的數據。此腳本將掃描計算機以查找與以下擴展名匹配的文件並對其加密。

.jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png, .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001n

當它加密文件時，它會將.crypt擴展名附加到加密文件的名稱。這意味著一個名為test.jpg的文件將被加密並重命名為test.jpg.crypt。勒索功能還會刪除計算機的卷影副本，以便你無法使用它來恢復文件。

當對DynA-Crypt計算機的文件進行加密時，會顯示一個鎖定屏幕，要求你向他支付50比特幣，不過，DynA-Crypt的勒索功能可以很容易被解密。

本文參考來源於bleepingcomputer，如若轉載，請註明來源於嘶吼：新勒索軟體DynA-Crypt不僅要加密你的文件，而且竊取並刪除它們更多內容請關注「嘶吼專業版——Pro4hou」