標籤:

星際迷航主題勒索軟體湧現,要求使用Monero加密貨幣付款

近日,安全研究人員發現,一款以星際迷航為主題的勒索軟體變種正在針對625種不同的文件類型發起攻擊,並要求使用數字貨幣Monero付款。

該威脅稱為「Kirk」,配套的解密器稱為「Spock」,據悉,這兩個名稱屬於星際迷航系列的兩個角色名。Avast惡意軟體研究員Jakub Kroustek發現,這一款新的勒索軟體變種是用Python編寫的,它可能是同類威脅中率先使用Monero(門羅幣)作為付款貨幣的。因為典型的勒索軟體通常會要求以比特幣或MoneyPak作為付款,以解鎖文件。

Monero是一個注重隱私的貨幣,旨在成為行業中交易方面最私密的貨幣之一。它使用一種叫做「環簽名」的技術,這個技術會把交易複製到多個用戶,讓他們都顯示有效。這樣的話,追蹤貨幣的來源就會變得極其困難。比起其它貨幣,門羅幣的一大優勢是他們的開發團隊(門羅幣研究實驗室),其中有一位成員是密碼專家——這必然能給這個貨幣帶來優點。除此之外,去年夏天,門羅幣開始被Alphabay和Oasis所採用,兩者都是在線暗網市場。這個消息大大地提升了門羅幣的價值。

然而,正如BleepingComputer的Lawrence Abrams所說,Kirk勒索軟體可能是第一個使用Monero作為付款貨幣的威脅。大多數勒索軟體會選擇比特幣作為付款貨幣,這一變化可能會造成混亂局面。

Abrams表示,

雖然比特幣的接受度越來越廣,但是想要獲取它們並不是容易的事。支付類型中引入這樣一個新型的加密貨幣,受害者只會感到更加困惑,使支付贖金變得更加困難。

Kirk勒索軟體的分銷渠道目前尚不清楚,但是研究人員已經發現它可以偽裝成一款稱為「低軌道離子炮(Low Orbital Ion Cannon)」的網路壓力測試應用程序。一旦執行,Kirk將生成一個AES密碼,用於加密受害者的文件,隨後通過嵌入式RSA-4096加密密鑰進行加密,並將其保存在名為「pwd」的文件中,該文件與勒索軟體可執行文件在相同的目錄中。

只有攻擊者能夠解密該文件並顯示加密AES密鑰,此外,Kirk勒索軟體還建議受害者要確保該文件不被刪除。顯然,攻擊者要求該文件能夠為受害者提供所需的解密器。

Kirk勒索軟體會顯示一個消息框「LOIC(低軌道離子炮)正在為您的系統初始化…」這可能需要一些時間。在後台,Kirk勒索軟體會搜索硬碟驅動器中的文件並將其默默地加密。據報告,惡意軟體會影響625種不同的文件類型,包括廣泛使用的文件類型,例如.mp3、.docx、.zip、.jpeg以及.wma等。該勒索軟體會加密它們,並將.kirk的擴展名附加到加密文件的名稱中。

該惡意軟體會在可執行文件的同一文件夾中放入贖金通知,並將其顯示在桌面窗口中。該贖金通知書會指導受害者將價值1100美元的Monero發送到指定地址中。它將每隔幾天重複一次,如果在第31天沒有付款,解密密鑰將被永久刪除。付款後,受害人需要將pwd文件和付款交易ID發送到kirk.help@scryptmail.com或kirk.payments@scryptmail.com電子郵件地址上。

據悉,犯罪分子會在付款完成後,將Spock解密器發送給受害者。不幸的是,研究人員還沒有計劃分析該工具。Abrams表示,

到目前為止,沒有任何方法來免費解密,也沒有任何人受到這個勒索軟體影響的報告。

·

本文參考來源於securityweek,如若轉載,請註明來源於嘶吼: 星際迷航主題勒索軟體湧現,要求使用Monero加密貨幣付款 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Night環境與學習共兼容
從誕生到鼎盛:扒扒殭屍網路的暗黑體制
警告:暗網是「毒」,不要碰!
這些安全類書籍值得一讀

TAG:网络安全 |