交了赎金还被“撕票”?这勒索病毒不讲究( 二 )
HTA将下载勒索软件可执行文件并将其保存到C:\Users\Public文件夹,并作为具有由三个字母组成文件名的可执行文件,然后启动GermanWiper。一旦系统被感染,GermanWiper会删除文件并留下赎金请求支付BTC 0.15038835。现实情况是,恶意软件只是用零和一个覆盖文件的内容。
下面这张图显示了GermanWiper向ID Ransomware服务提交的数量,表明活动仍在进行中。
此外,安全专家发布了有关GermanWiper的几个细节。当恶意软件启动时,它会尝试终止与任何软件相关的进程(即notepad.exe,mysql.exe,oracle.exe)可以锁定要加密的文件。
GermanWiper会跳过对Windows正常工作至关重要的文件,它会在已删除文件的文件名后附加一个随机的5个字符的扩展名,以诱使受害者相信它们已被勒索软件加密。完成删除过程后,GermanWiper还会删除卷影卷副本并禁用Windows自动启动修复。
安全专家们还注意到,GermanWiper与Sodinokibi勒索软件的变种有一些相似之处,该变种涉及最近冒充BSI的垃圾邮件活动。此外,在GermanWiper攻击中观察到Sodinokibi使用的相同传递方法(伪装成PDF的恶意快捷方式文件,以及使用HTA提取和部署恶意软件)。
推荐阅读
- 张大仙|XYG遗憾落败选拔赛,张大仙沉默表示可惜,500万的席位费该交了
- 有线电视费这些年白交了,教你用“它”几千个电视台全都免费看
- 交了“感谢费”才接单?美团打车被约谈!结果来了......
- 女网红手机丢失被勒索,拒付赎金后私密照片被发到网上
- 2019年全球安全态度调查:越来越多的受害者向勒索软件支付赎金
- 最不值得入手的几款华为手机!网友:典型的高价低配,交了智商税!
- 亚马逊旗下“安全”摄像头被黑,黑客骚扰辱骂用户并要求付赎金
- 约翰内斯堡被勒索软件攻击后拒绝支付赎金
- 客户装台电脑交了200元定金,电脑装好后不要了,定金都不要了!
- 请注意、这两类人群不要再交社保了,交了也是白交