星際迷航主題勒索軟體湧現，要求使用Monero加密貨幣付款

近日，安全研究人員發現，一款以星際迷航為主題的勒索軟體變種正在針對625種不同的文件類型發起攻擊，並要求使用數字貨幣Monero付款。

該威脅稱為「Kirk」，配套的解密器稱為「Spock」，據悉，這兩個名稱屬於星際迷航系列的兩個角色名。Avast惡意軟體研究員Jakub Kroustek發現，這一款新的勒索軟體變種是用Python編寫的，它可能是同類威脅中率先使用Monero（門羅幣）作為付款貨幣的。因為典型的勒索軟體通常會要求以比特幣或MoneyPak作為付款，以解鎖文件。

Monero是一個注重隱私的貨幣，旨在成為行業中交易方面最私密的貨幣之一。它使用一種叫做「環簽名」的技術，這個技術會把交易複製到多個用戶，讓他們都顯示有效。這樣的話，追蹤貨幣的來源就會變得極其困難。比起其它貨幣，門羅幣的一大優勢是他們的開發團隊（門羅幣研究實驗室），其中有一位成員是密碼專家——這必然能給這個貨幣帶來優點。除此之外，去年夏天，門羅幣開始被Alphabay和Oasis所採用，兩者都是在線暗網市場。這個消息大大地提升了門羅幣的價值。

然而，正如BleepingComputer的Lawrence Abrams所說，Kirk勒索軟體可能是第一個使用Monero作為付款貨幣的威脅。大多數勒索軟體會選擇比特幣作為付款貨幣，這一變化可能會造成混亂局面。

Abrams表示，

雖然比特幣的接受度越來越廣，但是想要獲取它們並不是容易的事。支付類型中引入這樣一個新型的加密貨幣，受害者只會感到更加困惑，使支付贖金變得更加困難。

Kirk勒索軟體的分銷渠道目前尚不清楚，但是研究人員已經發現它可以偽裝成一款稱為「低軌道離子炮（Low Orbital Ion Cannon）」的網路壓力測試應用程序。一旦執行，Kirk將生成一個AES密碼，用於加密受害者的文件，隨後通過嵌入式RSA-4096加密密鑰進行加密，並將其保存在名為「pwd」的文件中，該文件與勒索軟體可執行文件在相同的目錄中。

只有攻擊者能夠解密該文件並顯示加密AES密鑰，此外，Kirk勒索軟體還建議受害者要確保該文件不被刪除。顯然，攻擊者要求該文件能夠為受害者提供所需的解密器。

Kirk勒索軟體會顯示一個消息框「LOIC（低軌道離子炮）正在為您的系統初始化…」這可能需要一些時間。在後台，Kirk勒索軟體會搜索硬碟驅動器中的文件並將其默默地加密。據報告，惡意軟體會影響625種不同的文件類型，包括廣泛使用的文件類型，例如.mp3、.docx、.zip、.jpeg以及.wma等。該勒索軟體會加密它們，並將.kirk的擴展名附加到加密文件的名稱中。

該惡意軟體會在可執行文件的同一文件夾中放入贖金通知，並將其顯示在桌面窗口中。該贖金通知書會指導受害者將價值1100美元的Monero發送到指定地址中。它將每隔幾天重複一次，如果在第31天沒有付款，解密密鑰將被永久刪除。付款後，受害人需要將pwd文件和付款交易ID發送到kirk.help@scryptmail.com或kirk.payments@scryptmail.com電子郵件地址上。

據悉，犯罪分子會在付款完成後，將Spock解密器發送給受害者。不幸的是，研究人員還沒有計劃分析該工具。Abrams表示，

到目前為止，沒有任何方法來免費解密，也沒有任何人受到這個勒索軟體影響的報告。

·

本文參考來源於securityweek，如若轉載，請註明來源於嘶吼： 星際迷航主題勒索軟體湧現，要求使用Monero加密貨幣付款 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：