近日新勒索病毒出現 擴展名郵箱+數字字母 屬於Buran勒索病毒家族 每個文件夾留有how_to_decrypt.hta 內容如下
文件加密后的外觀如下
被加密的后的文件分析如下, 這個病毒不只是加密文件頭128個塊,中間也會每個100MB 加密128個塊。加密程度比.Globeimposter-Alpha666病毒要多。 直接修復被加密的BAK或者MDF會丟失較多數據,需要其他輔助方法 恢復完整度可達99-100%。
有數十種勒索軟件感染與Buran有相似之處。示例列表包括(但不限於) Luboversova148, Davda, Dodger和 Stone。這些感染是由不同的網絡罪犯發展而成的,但是,它們的行為實際上是相同的-全部加密數據並提出贖金要求。唯一的主要區別是贖金的大小和所使用的加密算法的類型。不幸的是,勒索軟件感染經常使用RSA,AES和其他生成唯一解密密鑰的密碼。在這種情況下,除非病毒仍在開發中或具有某些錯誤/缺陷,否則在沒有開發人員參與的情況下進行手動解密(不推薦)是不可能的。諸如Buran之類的勒索軟件提供了維護常規備份的有力理由,但是,由於本地存儲的備份與常規數據一起被加密,因此將其存儲在遠程服務器或未插拔的存儲設備上。此外,我們建議您將多個備份副本存儲在不同的位置,
勒索軟件如何感染我的計算機?
如上所述,Buran使用Rig Exploit Kit進行了擴散,但是,這些勒索軟件感染也經常通過垃圾郵件活動,第三方軟件下載源,假冒軟件更新程序/破解程序和特洛伊木馬來傳播。犯罪分子利用垃圾郵件運動發送包含惡意附件(鏈接和/或文件)的成千上萬的欺騙性電子郵件,以及鼓勵收件人打開它們的欺騙性消息。犯罪分子通常將這些附件作為重要文件顯示,例如收據,發票,票據等。這些嘗試給人以合法性的印象,並增加了誘騙收件人打開文件的機會。非官方下載源(對等[P2P]網絡,免費文件托管網站,免費軟件下載網站等)也以類似方式使用。犯罪分子通過將惡意可執行文件顯示為合法軟件,從而利用這些來源擴散惡意軟件。這樣,用戶就被誘騙了手動下載/安裝惡意軟件的過程。偽造的軟件更新程序通常通過利用舊的軟件錯誤/缺陷或僅下載並安裝惡意軟件而不是更新來感染計算機。偽造的“裂縫”也是如此。這些工具不是啟用付費功能,而是將惡意軟件注入系統。木馬是惡意應用程序,它們會潛入計算機中以下載/安裝其他惡意軟件。偽造的軟件更新程序通常通過利用舊的軟件錯誤/缺陷或僅下載並安裝惡意軟件而不是更新來感染計算機。偽造的“裂縫”也是如此。這些工具不是啟用付費功能,而是將惡意軟件注入系統。木馬是惡意應用程序,它們會潛入計算機中以下載/安裝其他惡意軟件。偽造的軟件更新程序通常通過利用舊的軟件錯誤/缺陷或僅下載和安裝惡意軟件而不是更新來感染計算機。偽造的“裂縫”也是如此。這些工具不是啟用付費功能,而是將惡意軟件注入系統。木馬是惡意應用程序,它們會潛入計算機中以下載/安裝其他惡意軟件。
威脅摘要:
名稱 布蘭病毒
威脅類型 勒索軟件,加密病毒,文件櫃
加密文件擴展名 受害者的唯一ID。
索要贖金 how_to_decrypt.hta
網絡犯罪聯系 bhatmaker @ protonmail.com,bhatmaker @ tutanota.com,buratin @ torbox3uiot6wchz.onion(僅可從tor訪問),buratino2 @ tutanota.com,buratino @ firemail.cc,daten @ airmail.cc,daten @ cock.li,decryptor @ cock.email,harveyjq9freemannl1 @ gmail.com,polssh1 @ protonmail.com,polssh @ protonmail.com,sofiasqhwells0gw @ gmail.com,stopcrypt @ cock.email,ticketbit @ mailfence.com,ticketbit @ tutanota.com,巧巧的celebr @ protonmail。 com
檢測名稱 Avast(FileRepMalware),DrWeb(Trojan.Encoder.28441),ESET-NOD32(Generik.EJUVIDP的變體),卡巴斯基(UDS:DangerousObject.Multi.Generic),完整檢測列表(VirusTotal)
症狀 無法打開計算機上存儲的文件,以前的功能文件現在具有不同的擴展名(例如,my.docx.locked)。贖金要求消息顯示在您的桌面上。網絡罪犯要求支付贖金(通常以比特幣支付)以解鎖您的文件。
附加信息 犯罪分子使用Rig Exploit Kit擴散了這種勒索軟件 。
感染方式 受感染的電子郵件附件(宏),BT種子網站,惡意廣告。