有一种新形式的勒索软件正在攻击Windows和Linux PC,最近发现了一群网络犯罪分子以来,他们的目标非常有选择性。
检测到的新勒索软件
在一份报告中ZDNET,勒索软件在代码中的参考文献之后被命名为Tycoon,并且使用不同的部署技术非常不寻常,这有助于其隐藏在任何受损的网络上。
黑莓研究人员在毕马威(KPMG)的安全分析师的帮助下发现并详细介绍了大亨勒索软件。
他们还发现,对网络安全的新威胁背后的人是针对软件和教育行业中的人和公司。
它是在Java中编写的,它是非常不寻常的,并被部署为java的Java运行时环境,以Jimage或Java Image文件编译,可以隐藏其恶意意图。
“这些都是独特的方法。Java很少用于编写端点恶意软件,因为它要求Java运行时环境能够运行代码。图像文件很少用于恶意软件攻击,” BlackBerry研究和智能副总裁Eric Milam说。
他还说,尽管大亨勒索软件背后的人不必掩盖他们使用的代码,但他们仍然成功地发动了攻击。
大亨勒索软件如何工作?
那么,新勒索软件如何工作?
根据新闻媒体的说法,大亨勒索软件的第一阶段在网络安全威胁中更为常见,并通过面向互联网的RDP服务器侵入网络或设备,这在恶意软件攻击中很常见。
此外,这些威胁通常会利用先前妥协和弱密码。
一旦进入网络,网络犯罪分子将使用特权,使他们可以禁用反恶意软件,以免检测并停止其攻击。
此外,他们将通过使用图像文件执行选项(IFEO)注入设置来保持持久性,这将使开发人员可以调试任何软件。
米拉姆还说:“勒索软件可以用无混淆的高级语言(例如Java)实施,并以意想不到的方式执行。”
执行后,Tycoon勒索软件将通过.thanos,.Redrum和.grinch等扩展程序进行加密。然后,他们将向用户发送电子邮件,说他们有解密密钥,但必须为此付费。
付款是通过比特币进行的,这使得很难追踪,而且价格通常基于受害者的回复时间。
连接到佛法?
根据黑莓的研究人员的说法,袭击仍在发生,这表明网络犯罪分子能够从受害者那里获得付款。
此外,他们有理由相信Tycoon勒索软件链接到另一个称为Dharma或Crysis的恶意软件,因为电子邮件地址中有相似之处,而勒索票据的内容则是加密文件的名称。
然而,尽管是一种不寻常的形式,但仍然有可能阻止它们加密您的网络。
首先,使用强密码,尤其是不需要访问互联网向外端口的帐户,再加上使用这些端口的端口的帐户是绝对需要它的端口。
