专家警告新型勒索软件“PXJ”
更多全球网络安全资讯尽在E安全官网 www.easyaq.com
E安全3月17日讯,据外媒报道,近日IBM X-Force的安全专家发现了 一款新型勒索软件,将其称为“PXJ Ransomware”。根据目前研究,虽然PXJ执行典型勒索软件的功能,但它似乎没有与大多数已知的勒索软件共享相同的基础代码。
PXJ勒索软件的名称来自其文件扩展名,该勒索软件会附加在加密文件中。同时,该恶意软件也称为XVFXGW软件,这个名称源自于该软件赎金记录中包含的电子邮件地址:
xvfxgw3929@protonmail.com
xvfxgw213@decoymail.com
据悉,专家于2月29日首次发现了该勒索软件,当时有两个病毒样本被上传到VirusTotal平台上。研究人员分析了这两个样本,但只有一个是使用开源可执行打包器UPX打包的。
这款勒索软件与其他勒索软件一样,会从禁用用户系统中恢复已删除的卷影副本文件。随后,该恶意软件开始对受害者的文件进行加密,从而去锁定受害者系统内的照片图像,数据库,文档,视频和其他文件。
专家在研究报告中称,PXJ勒索软件使用AES和RSA算法来对数据进行加密,该技术在其他威胁中也是很常见的。许多勒索软件代码首先使用对称密码AES算法加密文件,因为它的加密速度非常快,有助于在恶意程序快速完成任务。然后黑客会使用保密性更强的非对称密钥RSA密码系统对AES密钥进行加密。
加密过程结束后,勒索软件会将勒索便笺放入文件(“ LOOK.txt”)中,该文件会指引受害者通过电子邮件与攻击者联系,以获取有关支付勒索程序的信息,赎金数额将在前三天过后每天增加一倍。攻击者还威胁称,一周后如果受害者不支付赎金,解密密钥将被破坏,从而无法恢复被加密的文件。
最后,IBM X-Force发布了有关PXJ勒索软件的技术细节,包括危害指标(IoC)。在报告中,专家表示,其中一个样本中的URL包含一种流量检查参数,称为“令牌”,具有Base-64编码值。 鉴于缺少有效负载以及存在多个包含时间戳的GET请求,这可能是某种流量检查;但是,这尚未得到证实,之后专家还会对该软件进行更加深度的研究。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!