在周二,勒索軟件Locky的一(yī)個變種Asasin被發布,使用擴展名.asasin加密文件。
目前,此變種正通過垃圾電(diàn)子郵件進行分(fēn)發,電(diàn)子郵件主題類似于 “文件invoice_95649_sign_and_return.pdf已完成”。發件人顯示爲“RightSignature”,發件地址爲“document@rightsignature.com”。
值得慶幸的是,這些分(fēn)發垃圾郵件的人員(yuán)似乎不太會正确添加附件,這導緻大(dà)多數收件人無法正常看到這些附加。許多郵件中(zhōng)的附件都隻是顯示爲下(xià)面圖片中(zhōng)所示的一(yī)組base64編碼文本,而沒有真實的文件被添加到附件中(zhōng)。
此外(wài),即使在少數郵件中(zhōng)看到了正常的附件,也是一(yī)些.7zip或.7z文件,這也導緻很多沒有安裝解壓軟件的收件人無法打開(kāi)它們。
當然,值得注意的是,這些.7zip或.7z文件中(zhōng)包含了VBS文件。當VBS文件被執行時,将會從遠程站點下(xià)載Asasin的可執行文件并執行。
Asasin和之前ykcol之間并沒有什麽太大(dà)的區别。最大(dà)的變化是, Asasin在加密文件時,它會修改文件名并追加.asasin擴展,而不是.ykcol。當重命名文件時,它使用格式[first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] - [12_hexadecimal_chars] .asasin。
這意味着文件名爲1.png 的文件在被加密後,其文件名将變更爲E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin。
當Asasin完成對計算機文件的加密後,它會删除下(xià)載的可執行文件。然後,會顯示一(yī)個贖金票(piào)據,提供有關如何支付贖金的信息。這些贖金票(piào)據的名稱也已經更改爲 asasin.htm和asasin.bmp,贖金金額依舊(jiù)爲25 比特币(約值1.2美元 )。
與ykcol剛被發布出來時一(yī)樣,短期内都不會有解密. asasin文件的方法。恢複加密文件唯一(yī)的方法是通過文件備份,或者是你足夠幸運能夠通過卷影副本恢複成功。Asasin同樣也會試圖删除卷影副本,但在極少數情況下(xià),由于某種原因Asasin的這個操作也存在失敗的概率。因此,如果你沒有可行的文件備份,卷影副本依舊(jiù)會是你恢複加密文件的最後手段 。
上一(yī)篇:“商(shāng)務電(diàn)郵詐騙”的實施手法與防禦之道
下(xià)一(yī)篇:關于Microsoft Windows SMB Server存在遠程代碼執行漏洞的安全公告