最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。
也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。
这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。
用户:???
软件特性
根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后黑客目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。
虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的样式。
当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别是_Decryption_ReadMe.html,_Decrypt_Files.html,_Help_Help_Help.html和_Help_Important.html。
这些赎金记录文档将会记录所有有关受害用户计算机上所发生的事件,包括赎金金额,以及他们所用的Tor网站链接信息等。用户可以在这些网站上给黑客留言或解锁3个不超过10MB的文件。
赎金票据中所使用的地址是:
- http://xbt4titax4pzza6w.onion/
- https://xbt4titax4pzza6w.onion.pet/
- https://xbt4titax4pzza6w.onion.to/
不同的票据对应不同的金额,具体则是取决于用户想要解锁单个文件还是整个计算机或者是整个网络。
例如,我们看到的赎金票据所显示的价格分别是3个比特币和7个比特币。并且还带有额外的注释,在被加密四天之后若仍未支付,赎金将会变为10000美元。
罗宾汉在关注你的隐私?
在勒索软件的支付页面上,RobbinHood的开发人员表示,他们一直在关注用户的隐私,并且在用户付款之后会删除相应的加密密钥和用户IP地址。
“有一件事我希望各位知道,您的隐私对我们来说非常重要,您的所有记录(包括IP地址和加密密钥)都会在您支付赎金后删除。此外,您的比特币支付地址也是专用的,不会有其他人知道,请放心。” |
然而,更有趣的是,他们告知受害者不必费力去举报他们,因为他们目前所处的境地隐秘且安全。
“不必向任何人提及我们的存在,我们的服务器没有任何关于网络数据和信息的事件。” |
简而言之,举报了也没用。
安全专家表示,这次看见勒索软件给用户提意见,还声明他们会保护受害者被软件感染的数据。他们还暗示受感染的企业可以支付赎金并且不会对外宣传他们遭受勒索的负面消息。
很神奇的操作。
罗宾汉的战利品
目前,被RobbinHood威胁的范围已覆盖了美国北卡罗来纳州格林维尔市的整个网络。
根据北卡罗来纳州新闻报道,该城市几日前被恶意软件RobbinHood袭击,在确定损失之后不得不关闭了整个城市的网络。随后联系了执法部门,当前多个机构正联合调查此次袭击事件。
“联邦调查局特工现在正在决定如何解决本次袭击事件。国家信息技术、国家紧急事务管理部门等多个部门都在处理此案。” |
不幸的是,格林维尔并不是仅有的城市。BleepingComputer和MalwareHunterTeam昨日联合发布了关于勒索软件的推文,表示一直在关注本次事件的受害者。另外,MalwareHunter表示这些受害者都还没有支付过赎金。
IOCs
关联文件名:
- _Decryption_ReadMe.html
- _Decrypt_Files.html
- _Help_Help_Help.html
- _Help_Important.html
赎金备注文本:
您的文件怎么了?
您的所有文件都被使用RSA-4096的方式加密了,详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA是现代计算机用于加密和解密数据的算法,是一种非对称加密算法。
不对称意味着有两个不同的键。因此也被称为是公钥加密,因为其中的任何一个密钥都可给别人:
- 我们使用“公钥”加密您的文件;
- 您可以使用特定的“私钥”来解密这些文件,您的私钥就在我们手中。(如果没有私钥,则无法恢复您的文件)
您的数据是否还拿的回来?
答案是肯定的。我们有一个包含所有私钥的解密工具。只需要按我们说的操作,就可以获取您的数据:
方案1
- 一:您必须为每个被加密的系统支付3个比特币;
- 第二步:回复我们您想要解锁的系统的主机名,随后等待确认并获得您的解密工具。
方案2
- 一:您必须向我们支付7个比特币来解锁被加密的所有系统;
- 第二步:通过留言告诉我们,并等待获取解密工具。
支付比特币的地址是:xxxxxxxxxxx
留言地址:http://xbt4titax4pzza6w.onion/xxxx/
备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/
https://xbt4titax4pzza6w.onion.to/xxxx/
请使用洋葱浏览器访问网址。
如果您无法访问链接,请按如下步骤操作:
- 一:下载洋葱浏览器:https://www.torproject.org/download/download.html.en;
- 第二步:运行浏览器并等待链接;
- 第三步:访问我们的网站并留言。
如果在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。
如果您想要确认我们是否真的拥有解密工具,您可以在网站上上传3个不超过10MB的文件,我们将会证明一切。
比特币哪里买?
最简单的方式是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”来获取更多渠道。