BlackRouter勒索软件变种再次出现

2019-01-10

威胁等级: ★★★★

BlackRouter勒索软件使用成熟的.net加密库，该库使用AES算法对文件进行加密，并使用RSA算法对密钥进行加密，并且在没有攻击者的私钥的情况下无法解密文件. 该病毒的旧版本于2018年4月伪装成普通软件，诱使受害者下载. 运行后，正常软件和勒索软件被释放. 最近，新的病毒变种被捕获并仍处于活动状态.

BlackRouter勒索软件病毒和先前报告的Satyr勒索软件和FilesLocker勒索软件都是使用.net开发的，并且加密代码重复使用了类似的代码，均使用成熟的.net加密库勒索病毒发生变种，使用AES算法加密文件，使用RSA算法加密密钥，如果没有攻击者的私钥，则无法解密文件. 该病毒的旧版本于2018年4月伪装成普通软件，诱使受害者下载. 运行后，它发布了正常的软件和勒索软件. 最近，捕获了该病毒的新变种. 从病毒编译日期开始可以找到新版本. 2019年，产生于2014年1月6日，表明攻击者仍处于活动状态.

MD5病毒: EBAD44D2A8C72765AA64BAE691458A34

威胁等级: 4星★★★★

在编译时发现该病毒是最新更新

图: 病毒编译时间

此版本使用混淆工具进行混淆

图: 病毒被混淆

经过模糊处理后，您可以看到此版本仍使用AES + RSA加密

图: 病毒加密算法

该病毒将使用以下后缀来加密文件

.exe .der .pfx .key .ico .htm .ttf .cs .vb .c .py .jar .h .plist .backup 
.aspx .js .crt .csr .p12 .pem .odt .sxw .stw .3ds .max .3dm .ods .sxc .stc 
.dif .slk .wb2 .odp .sxd .std .sxm .sqlite3 .sqlitedb .sql .accdb .mdb .dbf 
.odb .mdf .ldf .cpp .pas .asm .cmd .bat .vbs .sch .jsp .php .asp .java .pkg 
.class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .mkv .flv 
.wma .mid .m3u .m4u .svg .psd .tiff .tif .raw .gif .png .bmp .jpg .jpeg .iso 
.backup .zip .rar .tgz .tar .bak .ARC .vmdk .vdi .sldm .sldx .sti .sxi .dwg 
.pdf .wk1 .wks .rtf .csv .txt .msg .pst .ppsx .ppsm .pps .pot .pptm .pptx 
.ppt .Zhon .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotm .dot 
.docm .docx .doc .ndf .pdf .ib .ibk .mo .strings .nib .sh .log .swidtag .grd 
.sig .spm .cat .tlb .sres .hiv .resources .3da .3ws .chm .3tf .glf .sqlite 
.version .manifest .config .gst .ind .id .map .prj .lic .prm .rss .sbo .cod 
.setup .glf .netmodule .vib .tib .$$$ .$DB .001 .001 .002 .003 .113 .73B 
.__A .__B .AB .ABA .ABBU .combo .ABF .ABK .ABU .ABU1 .ACP .ACR .ADI .AEA 
.AFI .ARC .ARC .AS4 .ASD .ASHBAK .ASV .ASVX .ATE .ATI .BA6 .BA7 .BAC 
.BACKUPDB .BAK2 .BAK3 .BAKX .BAK~ .BBB .BBZ .BCK .BCKP .BCM .BDB .BFF 
.BIF .BIFX .BK1 .BKC .BKF .BKP .BKUP .BKZ .dvtel .BLEND1 .BLEND2 .BM3 
.BMK .BOOKEXPOR .BPA .BPB .BPM .BPN .BPS .BUP .CAA .CBK .CBS .CBU .CENON~ 
.CK9 .CMF .CRDS .CSD .CSM .DA0 .DASH .DBA .DBK .DIM .DIY .DNA .DOV .DPB 
.DSB .DSS .FBC .FBF .FBK .FBU .FBW

加密文件类型

加密文件将附加.BlackRouter后缀

图: 加密后缀

加密完成后

删除系统随附的备份

cmd.exe" /c vssadmin.exe delete shadows /all /quiet

在加密的文件夹下，释放赎金记录，并威胁受害者联系病毒作者留下的邮箱以支付赎金

图片: 勒索信

弹出以下勒索窗口勒索病毒发生变种，威胁受害者支付赎金

图: 勒索软件窗口

勒索软件通常伪装成常用的软件和播放器. 因此，用户应避免下载可疑文件. 不要轻易打开可疑的电子邮件附件. 及时安装系统补丁，以防止攻击者通过漏洞进行攻击. 无需使用弱密码和密码即可植入病毒. 勒索防御软件

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-179540-1.html