近日,一种新型恶意软件出现在互联网上,并在全球广泛传播。该软件会自动加密他们访问的计算机,然后向用户索要一定数量的比特币作为赎金。可能因为刚刚出现,我们对这款勒索软件知之甚少,甚至连样本都没有。我们只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,受害者收到的许多赎金票据和加密文件作为证据,也让安全研究人员得以梳理出这款勒索软件的工作原理。这款软件的特别之处在于不断强调用户隐私对他们的重要性,并表示不会泄露任何付费用户信息。用户:???软件特点根据一些受害用户提供的勒索文本,我们可以知道,RobbinHood背后的黑客的目的仍然是访问目标所在的网络。虽然我们对所使用的加密一无所知,但我们知道当文件被加密时,它们会被重命名为类似“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的名称。当然,它还会在不同时间为多个用户删除与赎金记录相关的文件。这些文件的名称是_Decryption_ReadMe.html、_Decrypt_Files.html、_Help_Help_Help.html和_Help_Important.html。这些赎金票据文件将记录受害者计算机上发生的一切,包括赎金金额和他们使用的Tor网站的链接。用户可以在这些网站给黑客留言或者解锁3个不超过10MB的文件。赎金笔记中使用的地址是:http://xbt4titax4pzza6w.onion/https://xbt4titax4pzza6w.onion.pet/https://xbt4titax4pzza6w.onion.to/不同的笔记对应不同的金额取决于用户是否想要解锁单个文件或整个计算机或整个网络。例如,我们看到赎金票据分别显示3BTC和7BTC的价格。另外需要注意的是,如果在加密四天后仍未支付赎金,则赎金将变为10,000美元。罗宾汉关心你的隐私?在该勒索软件的支付页面,罗宾汉的开发者表示,他们一直关注用户的隐私,支付完成后将删除相应的加密密钥和用户IP地址。“有一件事我想让每个人都知道,你的隐私对我们来说非常重要,你支付赎金后你的所有记录(包括IP地址和加密密钥)都将被删除。另外,你的比特币支付地址是私人的,没有人会知道,不用担心。”然而,更有趣的是,他们告诉受害者,他们不必费心去举报他们,因为他们现在处于私密和安全的境地。“不需要向任何人提及我们的存在,我们的服务器没有任何网络数据和信息的事件。”总之,举报是没有用的。安全专家表示,此次看到勒索病毒给用户提供建议,同时也表示会保护被该软件感染的受害者数据。他们还暗示受感染的企业可以支付赎金而不宣传他们的勒索软件。非常神奇的操作。罗宾汉的战利品目前,罗宾汉的威胁范围已经覆盖了美国北卡罗来纳州格林维尔市的全网。据北卡罗来纳州新闻报道,该市日前遭受恶意软件RobbinHood袭击,在确定损害后不得不关闭全市互联网。随后联系了执法部门,多个机构目前正在调查这起袭击事件。“联邦调查局特工现在正在决定如何解决这次袭击。国家信息技术、国家应急管理和许多其他机构正在处理这个案件。”不幸的是,格林维尔并不孤单。BleepingComputer和MalwareHunterTeam昨天联合发布了关于勒索软件的推文,称他们一直在关注事件的受害者。此外,MalwareHunter表示没有受害者支付赎金。IOCs相关文件名:_Decryption_ReadMe.html_Decrypt_Files.html_Help_Help_Help.html_Help_Important.html赎金说明文字:你的文件发生了什么事?您的所有文件都使用RSA-4096加密。详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem)RSA是现代计算机用来加密和解密数据的一种算法。它是一种非对称加密算法。不对称意味着有两个不同的债券。因此,它也被称为公钥加密,因为任何一把钥匙都可以给别人:我们用一把“公钥”来加密你的文件;你可以使用特定的“私钥”来解密这些文件,你的私钥就在我们手中。(如果没有私钥,就无法恢复文件)你的数据回来了吗?答案是肯定的。我们有一个包含所有私钥的解密工具。只需按照我们所说的获取您的数据即可:选项11:您必须为每个加密系统支付3个比特币;第二步:回复我们你要解锁的系统的主机名,然后等待确认并获取你的解密工具。方案二一:您必须支付给我们7比特币才能解锁所有加密系统;第二步:留言告诉我们,等待解密工具。支付比特币的地址是:xxxxxxxxxxx消息地址:http://xbt4titax4pzza6w.onion/xxxx/备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/https://xbt4titax4pzza6w.onion.to/xxxx/请使用洋葱浏览器访问该URL。如果您无法访问该链接,请按照以下步骤操作:1:下载Tor浏览器:https://www.torproject.org/download/download.html.en;第二步:运行浏览器,等待链接;第三步1:访问我们的网站并留言。如果您在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。如果您想确认我们是否真的有解密工具,您可以在网站上上传3个不大于10MB的文件,我们会证明一切。在哪里购买比特币?最简单的方法是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”以获得更多渠道。
