压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

MalwareHunterTeam本周發(fā)現(xiàn)了兩個(gè)新的Matrix Ransomware變體，這些變體正在通過被黑客入侵的遠(yuǎn)程桌面服務(wù)進(jìn)行安裝。盡管這兩種變體都會對計(jì)算機(jī)的文件進(jìn)行加密，但其中一種更加先進(jìn)，可提供更多調(diào)試消息并使用密碼來擦除可用空間。

根據(jù)勒索軟件執(zhí)行時(shí)顯示的調(diào)試消息以及BleepingComputer論壇中的各種報(bào)告，該勒索軟件目前正在通過攻擊者直接連接到互聯(lián)網(wǎng)的遠(yuǎn)程桌面服務(wù)向受害者分發(fā)。一旦攻擊者獲得訪問計(jì)算機(jī)的權(quán)限，他們將上傳安裝程序并執(zhí)行它。
兩種不同的變體正在分發(fā)

目前有兩種不同的Matrix版本正在發(fā)布。這兩種變體都安裝在黑客RDP上，加密未映射的網(wǎng)絡(luò)共享，加密時(shí)顯示狀態(tài)窗口，清除卷影副本以及加密文件名。不過，這兩個(gè)變體之間有一些細(xì)微差別，第二個(gè)變體（[RestorFile@tutanota.com]）稍微高級一些。

這些差異如下所述。

變體1：[Files 4463@tuta.io]

這種由[Files4463@tuta.io]擴(kuò)展名標(biāo)識的變體是較不先進(jìn)的變體。當(dāng)這個(gè)變體正在運(yùn)行時(shí)，它將同時(shí)打開以下兩個(gè)窗口來顯示感染的狀態(tài)。 一個(gè)窗口是關(guān)于加密的狀態(tài)消息，另一個(gè)窗口是關(guān)于網(wǎng)絡(luò)共享掃描的信息。

當(dāng)文件被加密時(shí)，它會加密文件名，然后附加[RestorFile@tutanota.com]擴(kuò)展名。 例如，test.jpg會被加密并重命名為0ytN5eEX-RKllfjug。[Files4463@tuta.io]。

該變體還會在每個(gè)掃描的文件夾中放置命名為！ReadMe_To_Decrypt_Files！.rtf的贖金記錄。 該贖金說明包含用于聯(lián)系攻擊者并進(jìn)行贖金支付的Files4463@tuta.io，F(xiàn)iles4463@protonmail.ch和Files4463@gmail.com電子郵件地址。

該變體還將桌面背景更改為以下圖像。

不幸的是，Matrix Ransomware的這種變體無法免費(fèi)解密。
變體2：[RestorFile@tutanota.com]

第二個(gè)變體通過使用[RestorFile@tutanota.com]擴(kuò)展名來標(biāo)識。

雖然這個(gè)變體的操作方式與前一個(gè)類似，但它有點(diǎn)更先進(jìn)，因?yàn)樗哂懈玫恼{(diào)試消息，并且在加密完成后利用cipher命令覆蓋計(jì)算機(jī)上的所有可用空間。 此外，該變體使用不同的聯(lián)系人電子郵件地址，不同的擴(kuò)展名和不同的贖金票據(jù)名稱。

當(dāng)這個(gè)變體正在運(yùn)行時(shí)，它將利用下列窗口顯示感染的狀態(tài)。 請注意，與前一個(gè)版本相比，此版本中顯示的日志記錄更多。

當(dāng)文件被加密時(shí)，它將加密文件名，然后附加[RestorFile@tutanota.com]擴(kuò)展名到它。 例如，test.jpg會被加密并重新命名為0ytN5eEX-RKllfjug [RestorFile@tutanota.com]。

此變體還會在每個(gè)掃描的文件夾中放置名為＃Decrypt_Files_ReadMe＃.rtf的贖金備注。 該贖金說明包含用于聯(lián)系攻擊者并進(jìn)行贖金支付的RestorFile@tutanota.com，RestoreFile@protonmail.com和RestoreFile@qq.com電子郵件地址。

它還會將桌面背景更改為以下圖像。

在此變體完成加密計(jì)算機(jī)后，它將執(zhí)行“cipher.exe / w：c”命令以覆蓋C：驅(qū)動器上的可用空間。 這是為了防止受害者使用文件恢復(fù)工具來恢復(fù)他們的文件。

不幸的是，像以前的版本一樣，這個(gè)版本不能免費(fèi)解密。
如何保護(hù)您免受Matrix Ransomware的侵害

為了保護(hù)自己免受勒索軟件攻擊，一定要使用良好的計(jì)算習(xí)慣和安全軟件。首先，您應(yīng)始終擁有可靠且經(jīng)過測試的數(shù)據(jù)備份，以備在緊急情況下可以恢復(fù)，如勒索軟件攻擊。

由于Matrix Ransomware可能通過黑客入侵的遠(yuǎn)程桌面服務(wù)進(jìn)行安裝，因此確保其正確鎖定非常重要。這包括確保沒有運(yùn)行遠(yuǎn)程桌面服務(wù)的計(jì)算機(jī)直接連接到Internet。而應(yīng)將運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)放在VPN后面，以便只有那些在您的網(wǎng)絡(luò)上擁有VPN帳戶的人才能訪問它們。

設(shè)置適當(dāng)?shù)膸翩i定策略也很重要，這樣可以使帳戶難以被強(qiáng)制通過遠(yuǎn)程桌面服務(wù)強(qiáng)制執(zhí)行。

您還應(yīng)該擁有安全軟件，其中包含行為檢測以對抗勒索軟件，而不僅僅是簽名檢測或啟發(fā)式檢測。例如，Emsisoft反惡意軟件和Malwarebytes反惡意軟件都包含行為檢測功能，可以防止許多（如果不是大多數(shù)）勒索軟件感染對計(jì)算機(jī)進(jìn)行加密。

最后但并非最不重要的一點(diǎn)是，確保您練習(xí)以下安全習(xí)慣，在許多情況下這些習(xí)慣是所有最重要的步驟：

• 備份，備份，備份！
• 如果您不知道是誰發(fā)送的，請不要打開附件。
• 直到您確認(rèn)該人實(shí)際寄給您的附件才開啟附件，
• 使用VirusTotal等工具掃描附件。
• 確保所有的Windows更新一旦出來就安裝好！ 另外請確保您更新所有程序，特別是Java，F(xiàn)lash和Adobe Reader。 較舊的程序包含惡意軟件分發(fā)者通常利用的安全漏洞。 因此重要的是讓他們更新。
• 確保您使用的是安裝了某種使用行為檢測或白名單技術(shù)的安全軟件。 白名單可能是一個(gè)痛苦的訓(xùn)練，但如果你愿意與它一起存貨，可能會有最大的回報(bào)。
• 使用硬密碼并且不要在多個(gè)站點(diǎn)重復(fù)使用相同的密碼。

IOCs
Hashes:

Variant 1: a26087bb88d654cd702f945e43d7feebd98cfc50531d2cdc0afa2b0437d25eea
Variant 2: 996ea85f12a17e8267dcc32eae9ad20cff44115182e707153006162711fbe3c9

Associated Files:

#Decrypt_Files_ReadMe#.rtf
!ReadMe_To_Decrypt_Files!.rtf

Ransom Note Text:

WHAT HAPPENED WITH YOUR FILES?
Your documents, databases, backups, network folders and other important files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
It mеаns thаt yоu will nоt bе аblе tо аccеss thеm аnуmоrе until thеу аrе dесrуptеd with yоur pеrsоnаl dесrуptiоn kеy! Withоut уоur pеrsоnаl kеy аnd sреciаl sоftwаrе dаtа rеcоvеrу is impоssiblе! If yоu will fоl(xiāng)lоw оur instruсtiоns, wе guаrаntее thаt yоu cаn dесryрt аll yоur filеs quiсkly аnd sаfеly!
If yоu wаnt tо rеstоrе yоur filеs, plеаsе writе us tо thе е-mаils:
Files4463@tuta.io
Files4463@protonmail.ch
Files4463@gmail.com
In subjеct linе оf your mеssаgе writе yоur pеrsоnаl ID:
4292D68970C047D9
Wе rесоmmеnd yоu tо sеnd yоur mеssаgе ОN ЕАСH оf ОUR 3 ЕМАILS, duе tо thе fасt thаt thе mеssаgе mау nоt rеаch thеir intеndеd rеcipiеnt fоr а vаriеtу оf rеаsоns!
Plеаsе, writе us in Еnglish оr usе prоfеssiоnаl trаnslаtоr!
If yоu wаnt tо rеstоrе yоur filеs, yоu hаvе tо pаy fоr dесrуptiоn in Bitсоins. Thе pricе dереnds оn hоw fаst уоu writе tо us.
Your message will be as confirmation you are ready to pay for decryption key. After the payment you will get the decryption tool with instructions that will decrypt all your files including network folders.
Tо cоnfirm thаt wе cаn dесryрt yоur filеs yоu cаn sеnd us up tо 3 filеs fоr frее dесrурtiоn. Plеаsе nоte thаt filеs fоr frее dесrурtiоn must NОT cоntаin аnу vаluаblе infоrmаtiоn аnd thеir tоtаl sizе must bе lеss thаn 5Mb.
Yоu hаvе tо rеspоnd аs sооn аs pоssiblе tо еnsurе thе rеstоrаtiоn оf yоur filеs, bеcаusе wе wоnt kееp yоur dеcrуptiоn kеys аt оur sеrvеr mоre thаn оne wееk in intеrеst оf оur sеcuritу.
Nоtе thаt аll thе аttеmpts оf dесryptiоn by yоursеlf оr using third pаrty tооl(xiāng)s will rеsult оnly in irrеvосаble lоss оf yоur dаtа.

If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 6 hours, рlеаsе сhеck SРАМ fоl(xiāng)dеr!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 12 hours, рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 24 hours (еvеn if уоu hаvе prеviоuslу rесеivеd аnswеr frоm us), рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе tо еасh оf оur 3 еmаils!
Аnd dоn’t fоrgеt tо chеck SPАМ fоl(xiāng)dеr!

Associated Email addresses:

RestorFile@tutanota.com,
RestoreFile@protonmail.com
RestoreFile@qq.com
Files4463@tuta.io
Files4463@protonmail.ch
Files4463@gmail.com

原文：https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/