Polyglot勒索软件(又被成为MarsJoke)的受害者现在可以利用卡巴斯基实验室开发的解密工具恢复自己的文件
Polyglot勒索软件(又被成为MarsJoke)的受害者现在可以利用卡巴斯基实验室开发的解密工具恢复自己的文件。
Polyglot木马通过包含RAR压缩文档恶意附件的电子邮件进行传播。加密过程中,该木马不会更改受感染计算机上的用户名,而且阻止用户访问这些文件。加密完成后,受害者计算机的桌面壁纸会被勒索要求所替换。网络罪犯要求受害者以比特币的形式支付赎金,如果未在指定的时间内支付赎金,木马会删除自身,造成受感染设备上的文件永久被加密。
这种最新的勒索软件看上去同知名的CTB-Locker勒索软件非常相似,但是卡巴斯基实验室的专家在对其分析后发现,这两种恶意软件的恶意代码没有相似之处。Ployglot勒索软件会在几乎所有方面模仿CTB-Locker勒索软件。它们的图形界面几乎一模一样,要求用户获取解密密匙的步骤也一样,此外还包括支付页面以及桌面壁纸等,看上去几乎都一样。很明显,Polyglot的作者认为通过模仿CTB-Locker,可以让用户觉得自己遭遇的是非常危险的恶意软件,除了支付赎金外别无他法。
卡巴斯基实验室专家仔细分析了Polyglot的加密机制,发现同CTB-Locker不同,而是使用的弱加密密匙生成器。对全部可能的Polyglot加密密匙变化记性暴力破解的话,在普通计算机上只需要不到一分钟。发现这一弱点后,卡巴斯基实验室的专家开发出一种可以用于解锁用户数据的工具。
“这一案例给我们的启示是永远不要放弃。尽管勒索软件已经成为影响所有用户的严重问题,但有时候还是可以找到解决方法的。Polyglot勒索软件作者在部署加密时犯了一个错误,使得其加密密匙可以被破解。但是,在应对勒索软件方面,用户不能仅仅依靠好运。Polyglot仅仅是个例外,而非常态,所以,我们建议所有用户使用可靠的安全解决方案,并且开启所有反加密技术,积极主动地保护自己的设备,”卡巴斯基实验室高级恶意软件分析师Anton Ivanov说。
卡巴斯基实验室将这种勒索软件检测为Trojan-Ransom.Win32.Polyglot和PDM:Trojan.Win32.Generic. 有关这种恶意软件的更多技术详情,请访问Securelist.
想要获得更多解密工具,请访问No More Ransom网站。“No More Ransom(拒绝勒索软件)”是卡巴斯基实验室和荷兰警方国家高科技罪案组、欧洲刑警欧洲反网络犯罪中心和Intel Security公司共同开展的一个项目。该项目的主要目的是帮助勒索软件受害者在无需向网络罪犯支付赎金的前提下,恢复被加密的数据。
