新勒索軟體DynA-Crypt不僅要加密你的文件 而且竊取並刪除它們
一個名為DynA-Crypt的新勒索軟體被GData公司的惡意軟體分析師Karsten Hahn發現,DynA-Crypt不僅能加密你的數據,而且試圖從受害者的計算機竊取大量信息。雖然勒索軟體和信息竊取感染已經變得越來越普遍,但當你把兩者結合到DynA-Crypt中,那攻擊的威力似乎變得非常大了。
問題是,這個勒索軟體是由許多獨立的可執行文件和PowerShell腳本組成,這些組合不但能它加密你的文件,還能竊取你的密碼和聯繫人,同時對你設備中的文件進行刪除。
DynA-Crypt在刪除你的數據時會竊取大量信息
根據PCrisk的分析,這個程序是由惡意軟體創建工具包創建的,允許任何攻擊者創建自己的惡意軟體。這就為任何人創建惡意攻擊工具提供了便利的條件,DynA-Crypt似乎就是這麼被大家這麼創建出來的。
雖然DynA-Crypt的勒索軟體功能具有很大的攻擊性,但真正的問題是這個程序會從計算機竊取的數據和信息。當受害者的設備運行時,DynA-Crypt將截取活動桌面,記錄系統聲音,記錄鍵盤上輸入的命令,以及從眾多安裝的程序中竊取數據。
DynACrypt竊取的項目和數據包括:
屏幕截圖的信息nSkype的通訊信息nSteam遊戲平台的信息nChrome瀏覽器的信息nThunderbird郵件信息nMinecraft遊戲的信息nTeamSpeak 團隊語音信息nFirefox瀏覽器的信息n錄音信息n
當DynA-Crypt竊取這些數據時,會將他們複製到一個名為%LocalAppData% dyna loot 的文件夾中,當DynA-Crypt準備將其發送給開發人員時,它會將信息先全部壓縮到一個名為%LocalAppData% loot的文件中,然後再發送。
問題是,在DynA-Crypt盜取了你的數據後,不知道是處於什麼原因,它會刪除了很多它盜竊過數據的文件夾。
不過令人氣憤的是,一般的惡意軟體竊取你的數據就完了,但DynA-Crypt在得到你數據的同時還會刪除了桌面上的所有東西,們甚至不偷取任何東西!
DynA-Crypt的勒索功能部分可以被解密
DynA-Crypt的勒索軟體部分由PowerShell腳本驅動,該腳本使用稱為AES的獨立程序來加密受害者的數據。此腳本將掃描計算機以查找與以下擴展名匹配的文件並對其加密。
.jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png, .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001n
當它加密文件時,它會將.crypt擴展名附加到加密文件的名稱。這意味著一個名為test.jpg的文件將被加密並重命名為test.jpg.crypt。勒索功能還會刪除計算機的卷影副本,以便你無法使用它來恢復文件。
當對DynA-Crypt計算機的文件進行加密時,會顯示一個鎖定屏幕,要求你向他支付50比特幣,不過,DynA-Crypt的勒索功能可以很容易被解密。
本文參考來源於bleepingcomputer,如若轉載,請註明來源於嘶吼: 新勒索軟體DynA-Crypt不僅要加密你的文件,而且竊取並刪除它們 更多內容請關注「嘶吼專業版——Pro4hou」
推薦閱讀:
※LastPass 近日「零日漏洞」的解釋
※【免費工具】隱寫工具-OpenPuff
※Github 安全軍火庫(三)
※掌握哪些技能才有希望進入玄武實驗室?
※IE 的一個通用 Cookie 跨域漏洞
TAG:网络安全 |