勒索病毒攻击已经成为全球最大的网络安全威胁,同时也被国际刑警组织认定为全球危害最大的网络犯罪组织活动,最近一年针对企业的勒索病毒攻击越来越多,勒索病毒网络犯罪团伙的攻击行为变的越来越有针对性和目的性,目前大部分流行勒索病毒是无法解密的,全球每天都有很多政府、企业、组织机构被勒索病毒攻击,各企业一定要保持高度的重视,做好相应的防范措施,近期又有一大波新型勒索病毒来袭……
STOP勒索病毒最新变种
STOP是今年全球十大流行款勒索病毒之首,主要通过捆绑其他软件进行传播,变种非常多,高达一百多个变种样本,最近又有新的变种更新,其加密后缀如下:
karl、nesa、boot、kuub、noos、xoza、bora、leto、werd、coot、derp、litar
虽然此前Emsisoft发布了STOP勒索病毒的解密工具,但是一些最新的STOP变种仍然无法解密,Emsisoft发布的STOP勒索病毒解密网站
https://decrypter.emsisoft.com/submit/stopdjvu/, 如下所示:
新型LonleyCrypt勒索病毒
这款勒索病毒加密后的文件后缀名为LonleyEncryptedFile,如下所示:
Matrix勒索病毒最新变种
此勒索病毒最新的变种加密后的文件后缀名为DECP,如下所示:
生成的勒索提示信息文件#DECP_README#.rtf,内容如下所示:
黑客的邮箱地址:
deccrypasia@yahoo.com
deccrypasia@protonmail.com
deccrypasis@aol.com
同时发现它的其它几个变种,加密后的文件后缀名ABAT、tgmn
勒索提示信息文件!ABAT_INFO!.rtf
MegaCortex勒索病毒最新变种
此勒索病毒加密后文件后缀名m3gac0rtx,如下所示:
勒索提示信息文件,内容如下所示:
黑客的邮箱地址:
JanayshaKennin95@mail.com
MarzocchiZadok95@mail.com
Ouroboros(Zeropadypt)勒索病毒最新变种
此勒索病毒加密后的文件后缀名为KRONOS,勒索提示信息文件HowToDecrypt.txt,内容如下所示:
另一款变种样本,加密后的文件后缀名Angus,如下所示:
最新的一款Ouroboros勒索病毒,加密后的文件Lazarus+,如下所示:
Scarab勒索病毒最新变种
此勒索病毒是今年全球十大流行勒索之一,加密后的文件后缀名为li,勒索提示信息文本DECRYTP YOUR FILES.TXT,内容如下所示:
同时还发现了它的其它一些加密后缀名的变种样本,加密后缀名如下:
local、gold、crabs、lbkut
其它变种生成的勒索提示信息文件,如下:
HOW TORECOVER ENCRYPTED FILES.TXT
Инструкцияпо расшифровке файлов.TXT
黑客的邮箱地址:
gold84@cock.li
新型Avest勒索病毒
此勒索病毒加密后的文件后缀名pack14,如下所示:
生成的勒索提示信息文件!!!ReadMe!!!Help!!!.txt,内容如下所示:
黑客的邮箱地址:
data1992@protonmail.com
Emsisoft已经发布了此勒索病毒的解密工具,下载链接如下:
https://www.emsisoft.com/ransomware-decryption-tools/avest
可以解密上面这款勒索病毒,如下所示:
Phobos勒索病毒最新变种
此勒索病毒是今年全球十大流行勒索病毒之一,最近又出现它的一些新的变种,此勒索病毒加密后缀名Caley、如下所示:
同时还发现其它一些加密后缀名的变种样本,加密后缀名如下:
deal、calix、Adair
Sodinokibi勒索病毒最新变种
此勒索病毒是今年全球十大流行勒索病毒之一,攻击手法多种多样,最近发现此勒索病毒大量针对中国以及东南亚地区国家的企业进行垃圾邮件攻击,在垃圾邮件附件中冒充海关以及其它类型的文件进行攻击,如下所示:
新型crappy勒索病毒
此勒索病毒勒索提示信息,如下所示:
新型FTCode勒索病毒
这是一款新型基于PowerShell无文件勒索病毒,加密后文件后缀名为ftcode,勒索提示信息文件,内容如下所示:
Jigsaw勒索病毒最新变种
此勒索病毒加密后的文件后缀名LOCKED_PAY,勒索提示信息文件,内容如下所示:
CrySiS(Dharma)勒索病毒最新变种
此勒索病毒也是今年全球十大流行勒索病毒之一,勒索提示信息,如下所示:
最近又出现它的一批新的变种,加密后缀名,如下:
VIVAL、CASH、Krab、oo7、bot、uta、wiki、pbd、one
新型GalactiCrypter勒索病毒
此勒索病毒勒索提示信息,如下所示:
Emsisoft发布了此勒索病毒的解密工具,下载链接:
https://blog.emsisoft.com/en/34271/emsisoft-releases-free-decryptor-for-galacticrypter-ransomware/, 如下所示:
Muhstik(QNAPCrypt)勒索病毒最新变种
此勒索病毒加密后的文件后缀名muhstik,勒索提示信息,内容如下所示:
此勒索病毒的解密工具已经发布,链接:
https://pastebin.com/ZZBnpUvZ,如下所示:
Globelmposter2.0勒索病毒最新变种
此勒索病毒最新的变种加密后文件后缀名badday,如下所示:
勒索提示信息文件how_to_back_files.html,内容如下所示:
黑客的邮箱地址:
redteamoperation@protonmail.com
redteamoperation@seznam.cz
Globelmposter“十二主神”最新变种样本
此勒索病毒加密后的文件后缀名Aphrodite865qq,勒索提示信息文件HOW TO BACK YOUR FILES.exe,内容如下所示:
黑客的邮箱地址:China.Helper@aol.com
其它的加密后缀名:
Ares865qq、Zeus865qq、Aphrodite865qq、
Apollon865qq、Poseidon865qq、
Artemis865qq、Dionysus865qq、
Hades865qq、Persephone865qq、
Hephaestus865qq、Hestia865qq、
Athena865qq
新型AepCrypt勒索病毒
此勒索病毒加密后的文件后缀名aep,勒索提示信息文件#READ ME – YOUR FILES ARE LOCKED#.rtf,内容如下所示:
黑客的邮箱地址:
upeditco@gmail.com
新型Sapphire勒索病毒
此勒索病毒加密后的文件后缀名sapphire,勒索提示信息文件,内容如下所示:
新型BGUU勒索病毒
此勒索病毒勒索提示信息,如下所示:
新型RobbinHood勒索病毒
此勒索病毒勒索提示信息,内容如下所示:
新型HackdoorCrypt3r勒索病毒
此勒索病毒加密后的文件后缀名hackdoor,勒索提示信息文件!how_to_unlock_your_file.txt,内容如下所示:
新型OnyxLocker勒索病毒
此勒索病毒加密后的文件后缀名onx
Emsisoft已经发布了此勒索病毒的解密工具,下载链接:
https://www.emsisoft.com/ransomware-decryption-tools/aurora,如下所示:
新型Dishwasher勒索病毒
此勒索病毒加密后的文件后缀名clean,加密文件之后修改桌面的背景,如下所示:
新型Kazkavkovkiz勒索病毒
此勒索病毒加密后的文件名为随机数字,勒索提示信息文件,内容如下所示:
黑客的邮箱地址:
kazkavkovkiz@cock.li
Hariliuios@tutanota.com
Hermes837勒索病毒最新变种
此勒索病毒加密后的文件后缀名cobain,勒索提示信息文件!!!READ_ME!!!.txt,如下所示:
黑客的邮箱地址:
cobain_ransom@protonmail.com
cobain0ransom@cock.li
MedusaLocker勒索病毒最新变种
此勒索病毒加密后的文件后缀名skynet,勒索提示信息文件Readme.html,内容如下所示:
新型sun勒索病毒
此勒索病毒加密后的文件后缀名sun,勒索提示信息文件DECRYPT_INFORMATION.html,内容如下所示:
新型Foxy勒索病毒
此勒索病毒勒索提示信息,内容如下所示:
新型Mockba勒索病毒
此勒索病毒加密后的文件后缀名mockba,勒索提示信息文件#HOW TO RECOVER YOUR DATA#.txt,内容如下所示:
Rapid勒索病毒最新变种
此勒索病毒加密后的文件后缀名droprapid,勒索提示信息文件!DECRYPT DROPRAPID.txt,内容如下所示:
黑客的邮箱地址:
burcr@protonmail.com
burcr@airmail.cc
Paradise勒索病毒最新变种
此勒索病毒加密后的文件后缀名FC,勒索提示信息文件—==%$$$OPEN_ME_UP$$$==—.txt,内容如下所示:
新型HDMR勒索病毒
此勒索病毒加密后的文件后缀名hdmr,如下所示:
勒索提示信息文件ReadMeAndContact.txt,内容如下所示:
黑客的邮箱地址:
lafoievologjanin123@tutanota.com
lafoievologjanin123@protonmail.com
新型Mespinoza勒索病毒
此勒索病毒加密后的文件后缀名locked,勒索提示信息Readme.README,内容如下所示:
新型DavesSmith勒索病毒
此勒索病毒勒索提示信息文件RECOVERYFILE.txt,内容如下所示:
黑客的邮箱地址:
daves.smith@aol.com
黑客的邮箱地址:
daves.smith@aol.com
Maze勒索病毒最新变种
此勒索病毒加密后的文件后缀为随机名,勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:
加密完成之后,会修改桌面背景,如下所示:
新型FuxSocy勒索病毒,与Ceber勒索病毒相似
此勒索病毒加密后的文件后缀名a82d,加密文件之后,修改桌面背景,如下所示:
针对企业的勒索病毒攻击越来越多了,而且攻击手法越来越复杂,具有很强的针对性,旧的勒索病毒不断变种,新型的勒索病毒不断出现,全球每天都有勒索病毒的变种被发现,同时每天都有不同的企业被勒索病毒攻击,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且后面可能会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁
最后欢迎大家关注此微信公众号,专注于全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,及时提供全球最新的威胁情报信息
往期精彩回顾
Globelmposter勒索病毒发展史
如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长
安全的路很长,贵在坚持……
