新的勒索软件检测不仅加密文件,还可以帮助“清理”系统
Rxomware VXCRYPTER可能是世界上第一个勒索软件,不仅可以对受害者的数据进行加密,而且还可以通过删除系统上的重复文件来帮助清理其计算机。
上周,BleepingComputer的安全研究人员发现,目前正在全球开发和传播一种名为VxCrypter的新勒索软件。这是一个勒索软件.NET,它基于从未分发的旧勒索软件,称为VXLOCK。
近600个MAC地址的列表是针对数百万华硕计算机用户的秘诀
当首次尝试此勒索软件软件时,研究人员发现,除了加密勒索代码经常使用的通常方式之外,它还删除了所有文件。如下图所示,在目录中复制并仅留下一个文件。根据专家的说法,这可能只是加密过程中的一个错误,因为如前所述,此勒索软件软件仍处于开发阶段,因此,如果出现问题,则可以理解。
- 针对物联网设备的攻击数量的令人震惊的增加
在进行了一些必要的测试之后,安全研究人员迈克尔·吉莱斯皮(Michael Gillespie)表示,删除文件是有意的,因为勒索软件实际上正在删除重复的文件而不是删除它们。此外,这也是世界上第一个以这种奇怪行为记录的勒索软件软件。
分析勒索软件时,迈克尔·吉莱斯皮(Michael Gillespie)注意到它将跟踪每个加密文件的SHA256哈希功能。由于勒索软件已加密系统上的许多不同文件,因此,如果它遇到相同的SHA256哈希函数(重复),它将立即删除文件而不是解码。
- 端点检测和响应威胁,新兴的安全技术
但是,应该指出的是,该勒索软件仅删除具有最初用于加密的尾部扩展的重复文件,包括:
。 .cpp,.c,.h,.hpp,.htm,.py,.reg,.rb,。 pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif
对于以上列表以外的其他格式的文件,例如.exe或.dll,仍然将保留重复文件。
现在,研究人员无法确切地确认勒索软件vxcrypter这样做的原因,现在最合理的假设是删除重复文件是帮助恶意代码加快数据加密的一种方法。系统。此外,VXCrypter的行为也是一个警告,即在攻击者继续开发包含许多不同行为以提高性能的恶意软件的情况下,我们必须非常警惕。损害恶意代码。
