反病毒软件厂商 Avast 刚刚在博客上宣布,其已新推出三款勒索软件解密工具,目前该公司的“反勒索软件工具”的总数也达到了 14 款。Avast 反向工程与恶意软件分析师 Jakub Kroustek 在博文中表示:“在过去一年里,我们发现了超过 200 个勒索软件新株系,野外的利用有些泛滥,但好消息是数以百万计的 Avast 和 AVG 用户得到了保护,可以免受这种威胁”。 新发布的解密工具,解决了三款不同的勒索软件分支,分别是 HiddenTear、Jigsaw、以及 Stampado/Philadelphia 。 虽然其它安全研究人员也已有推出过类似的解决方案,但 Avast 始终觉得“多个选择总是好的”,毕竟这三款恶意软件仍然活跃着(尤其是近几个月),一不留神就可能遇到。 此外,由于勒索软件会经常更新其加密密钥,因此解密工具也必须同步快速更新。 Kroustek 写到:“我们可以显著提快解密的时间、以及更准确的密码暴力破解过程,比如某些 HiddenTear 变种会在几分钟内被解密、而不用耗费数天,Avast 的目标是直接将受感染机器里的文件解救出来”。 HiddenTear 已经肆虐了有一段时间,而且它的代码就托管在 GitHub 上,因此有许多黑客开始利用这款勒索软件的代码。 被勒索软件加密的文件后缀也是五花八门,比如 .locked 、 .34xxx 、 .bloccato 、 .BUGSECCCC 、 .Hollycrypt 、 .lock 、 .saeid 、 .unlockit 、 .razy 、 .mecpt 、 .monstro 、 .lok 、 .암호화됨 、 .8lock8 、 .fucked 、 .flyper 、 .kratos 、 .krypted 、 .CAZZO 、 .doomed 等 。 通常它们的套路是,在所有文件被加密之后,勒索软件会在用户桌面上附上一份文本文件。而 Jigsaw 则于 2016 年 3 月份被发现,许多变种都选择在屏幕上呈现同名电影 Jigsaw Killer 的照片。(在看一部电影的时间里,你的文件就可以被它给删完了) 被 Jagsaw 劫持的文件后缀有 .kkk 、 .btc 、 .gws 、 .J 、 .encrypted 、 .porno 、 .payransom 、 .pornoransom 、 .epic 、 .xyz 、 .versiegelt 、 .encrypted 、 .payb 、 .pays 、 .payms 、 .paymds 、 .paymts 、 .paymst 、 .payrms 、 .payrmts 、 .paymrts 、 .paybtcs 、 .fun 、 .hush 等 。 Stampado 于 2016 年 8 月份开始冒泡,并在暗网上被出售。网络上有许多版本,其中就有 Philadelphia 。多数情况下,被其劫持的文件后缀为 .locked,且其会每隔 6 个小时删除一个新文件,除非你交付赎金。 [编译自:Soft Pedia, 来源:Avast Blog]
