“大头”勒索软件三宗罪：伪装Windows更新、勒索、开后门

克日，瑞星威胁情报中心捕捉一个名为“大头”的打单软件，该打单软件不只会加密用户磁盘文件，还会安装开源的窃密措施，举办文件窃取、图片截屏、目次检索、上传或下载文件等恶意行为。现瑞星宣布“大头”打单软件独家免费解密东西，以辅佐被加密用户解密受害文件。

　　

     　　

图：“大头”打单软件解密东西

　　

伪装成Windows更新或Word安装措施加密文件

　　

瑞星安详专家先容，“大头”打单软件最早发明自2023年5月，该打单软件利用.NET编写，团结了Power Shell脚原来配合完成进攻，至今已呈现多个变种。通过阐明发明，“大头”打单软件疑似伪装成虚假的Windows更新或Word安装措施，诱导受害者下载并举办流传。其启动后会遍历所有磁盘，修改受害者屏幕壁纸，并释放打单信，加密特定文件，在加密完成后弹出Windows PowerShell凭证请求，提示受害者假如需要解密，可通过邮箱接洽。

　　

     　　

图：“大头”打单软件加密后释放的打单信

　　

     　　

图：被打单软件修改后的屏幕壁纸

　　

下载后门措施窃取数据

　　

值得留意的是，“大头”打单软件在举办加密的同时，还会在受害者电脑上下载并安装开源的窃密后门软件——WorldWind Stealer。该后门软件常被用于举办文件和数据资料的窃取，会收集受害者电脑内文件、图片、音频、主机软硬件版本、欣赏器等种种信息，回传给进攻者。

　　

在《2022年中国网络安详陈诉》中，瑞星安详专家就已对将来打单软件举办过预测阐明：打单进攻者为了更好地保障自身好处，在进攻进程中会将数据窃取作为帮助手段，一旦打单不乐成，便可以通过售卖数据以牟取好处。

　　

独家解密东西：

　　

由于“大头”打单软件利用了开源对称算法的文件加密措施，因此颠末瑞星安详专家的技能阐明发明，被加密的文件是可以或许举办解密规复的。同时瑞星宣布免费解密东西，详细利用方式如下：

　　

     　　

图：“大头”打单软件解密东西

　　

第一步，点击【选择路径】按钮，找到要解密的文件夹目次随后点击确定。

　　

     　　

此时中间的文本框中将会展示要解密的文件夹路径。

　　

     　　

第二步，点击【开始解密】按钮，对文件夹内被加密的文件举办解密，解密完成时提示完成解密的文件数量。

　　

     　　

解密不会删除原始文件，完成解密后的文件将恢复兴本的后缀名目。

　　

     　　

解密前后数据结果展示：

　　

     　　

防范法子：

　　

由于打单软件不再只是举办加密打单进攻，融易新媒体，而趋于窃取、售卖数据赢利，因此无论是小我私家照旧企业用户，都应提高鉴戒，增强防御。

　　

 陈设网络安详态势感知、预警系统等网关安详产物。

　　

网关安详产物可操作威胁情报追溯威胁行为轨迹，辅佐用户举办威胁行为阐明、定位威胁源和目标，追溯进攻的手段和路径，从源头办理网络威胁，最大范畴内发明被进攻的节点，辅佐企业更快响应和处理惩罚。

　　

 安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

　　

杀毒软件可拦截恶意文档和木马病毒，假如用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，掩护用户的终端安详。今朝，瑞星旗下产物已可查杀“大头”打单软件和相关窃密措施，宽大用户可安装利用。

　　

     　　

图：瑞星ESM防病毒终端安详防护系统查杀打单软件与窃密措施