近日,瑞星威胁情报中心捕获一个名为“大头”的勒索软件,该勒索软件不仅会加密用户磁盘文件,还会安装开源的窃密程序,进行文件窃取、图片截屏、目录检索、上传或下载文件等恶意行为。现瑞星发布“大头”勒索软件独家免费解密工具,以帮助被加密用户解密受害文件。(下载地址:http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe)
图:“大头”勒索软件解密工具
伪装成Windows更新或Word安装程序加密文件
瑞星安全专家介绍,“大头”勒索软件最早发现自2023年5月,该勒索软件使用.NET编写,结合了Power Shell脚本来共同完成攻击,至今已出现多个变种。通过分析发现,“大头”勒索软件疑似伪装成虚假的Windows更新或Word安装程序,诱导受害者下载并进行传播。其启动后会遍历所有磁盘,修改受害者屏幕壁纸,并释放勒索信,加密特定文件,在加密完成后弹出Windows PowerShell凭证请求,提示受害者如果需要解密,可通过邮箱联系。
图:“大头”勒索软件加密后释放的勒索信
图:被勒索软件修改后的屏幕壁纸
下载后门程序窃取数据
值得注意的是,“大头”勒索软件在进行加密的同时,还会在受害者电脑上下载并安装开源的窃密后门软件——WorldWind Stealer。该后门软件常被用于进行文件和数据资料的窃取,会收集受害者电脑内文件、图片、音频、主机软硬件版本、浏览器等各类信息,回传给攻击者。
在《2022年中国网络安全报告》中,瑞星安全专家就已对未来勒索软件进行过预测分析:勒索攻击者为了更好地保障自身利益,在攻击过程中会将数据窃取作为辅助手段,一旦勒索不成功,便可以通过售卖数据以牟取利益。
独家解密工具:
由于“大头”勒索软件使用了开源对称算法的文件加密程序,因此经过瑞星安全专家的技术分析发现,被加密的文件是能够进行解密恢复的。同时瑞星发布免费解密工具,具体使用方法如下:
图:“大头”勒索软件解密工具
第一步,点击【选择路径】按钮,找到要解密的文件夹目录随后点击确定。
此时中间的文本框中将会展示要解密的文件夹路径。
第二步,点击【开始解密】按钮,对文件夹内被加密的文件进行解密,解密完成时提示完成解密的文件数量。
解密不会删除原始文件,完成解密后的文件将恢复原本的后缀格式。
解密前后数据效果展示:
预防措施:
由于勒索软件不再只是进行加密勒索攻击,而趋于窃取、售卖数据获利,因此无论是个人还是企业用户,都应提高警惕,加强防范。
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。目前,瑞星旗下产品已可查杀“大头”勒索软件和相关窃密程序,广大用户可安装使用。
图:瑞星ESM防病毒终端安全防护系统查杀勒索软件与窃密程序
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )