网络犯罪分子总是试图利用所有受公众喜爱和关注的事物,包括。恶意软件通常会伪装成游戏的盗版或移动端版本,哪怕这款游戏并没有发布过移动版本。
近期出现了一个名为Syrk的勒索软件加密器。堡垒之夜是一款在短短两年内就拥有了2.5亿忠实玩家的流行游戏,Syrk伪装成该游戏的外挂。它宣称自己整合了Aimbot和WH/ESP两大功能,即能够自动瞄准并定位游戏中的其他玩家。但实际上,该程序的真正功能是加密受害者的文档并索要赎金。
Syrk勒索软件是如何运作的
Cyren的研究者表示,Syrk基本上是开源勒索软件的完整副本。一旦被执行,软件就会自动连接到指令控制服务器并禁用以下程序:
- Windows Defender
- UAC用户账户控制(请求管理员操作权限的系统)
- 例如任务管理器、进程监视器、进程管理(Process Hacker)等能够检测到恶意程序感染的进程监控程序。
加密器还会将自身添加到开机自动加载列表中,所以用户无法通过重启的方式摆脱它。如果有任何USB存储设备连接到受感染的电脑,那么Syrk也会试图感染它们。
随后恶意软件将定位并加密媒体文件、文档、表格、演示文稿、压缩包、PS文件、Microsoft Visual Studio项目文件等。所有经加密的文件将显示.SYRK的扩展名。
下图显示了无法关闭的勒索界面。
Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30/67 in VThttps://t.co/x7Y6Tz4NB1 pic.twitter.com/6e9wI8XTQR
— Leo (@leotpsc) 2019年8月1日
弹框以《v字仇杀队》中的标志性面具为背景图片,上面的文字显示,通过邮件联系犯罪分子并支付赎金是恢复文件的唯一方法。而且Syrk要求受害者必须在限定的时间内支付赎金,每过两小时Syrk就会删除一部分加密文件,它们会从相册开始下手,然后删除桌面文件,最后清空用户个人文档。
如何免费恢复文件
值得庆幸的是,即便Syrk已经渗入你的电脑并加密你的文档,你也无需支付赎金。它的现有版本会在受感染的机器本地存储解密文件所需的密钥。你可以在C:UsersDefaultAppDataLocalMicrosoft这个路径下找到该密钥,它的文件名通常是-pw+.txt或+dp-.txt。
恢复文件的步骤:
- 复制密钥。
- 在索要赎金的窗口点击 “显示我的ID” ,新的页面上将显示你的ID以及 “输入密钥解密文件” 输入框。
- 将密钥复制到相应位置并点击 “解密我的文件” 。
随后,程序将恢复所有加密的照片和文档,并创建执行两个.exe,清理恶意软件留下的其他内容。
还有另一种稍难一些的方法能够恢复文件。该恶意软件中包含了解码组件,只要能够成功地提取并执行该组件就可以恢复所有文档。不过你需要手动删除受感染的文件。
保护自己免受勒索软件的侵害
研究人员表示,尽管可能需要一些专业的帮助,但被Syrk删除的数据是可恢复的。目前为止,受害者只需要通过本地存储的密钥就能恢复文件,然而恶意软件的创造者可能会重新编写这一工具,要求受害者必须先支付赎金才能进入解密文件界面。总之,保护自己的最佳策略一定是避开勒索软件的侵害。
- 不要从不可信的来源下载程序。特别是当它们承诺自己的功能十分强大,能够带来绝佳的游戏体验时,就需要格外小心。
- 备份并存储所有重要文件,确保无法从您的个人电脑直接访问。如果需要使用外接硬盘或闪存盘,请记得在完成备份之后及时移除硬盘。
- · 安装使用可靠的安全保护解决方案。卡巴斯基安全软件 能够准确检测到Syrk恶意软件,即便用户尝试下载或运行该程序,卡巴斯基也能帮助用户免受其侵害.