Ranscam
在遇到勒索软件攻击时,人们往往第一时间想到的是:是否值得支付赎金,以及如何以最小的代价恢复被锁文件。卡巴斯基实验室从始至终不建议受害人支付任何赎金,而如果不幸遇到被称为”Ranscam”的新型勒索软件时,那支付赎金更是毫无意义:它会将你的文件整个删除。
Threatpost在报道这款新型恶意软件时,提到Ranscam与最近广泛传播的”高能”勒索软件截然相反,不仅”懒惰”且能力平庸。如同是一堆小巧的手术刀里突然多了一把大铁锤。
不幸的是,锤子的破坏力更为巨大。一些编写复杂的勒索软件目的旨在要挟受害人支付赎金,说不定付完赎金后即能恢复被加密的文件或文件系统,但Ranscam却只是一个彻头彻尾的骗局。
Ranscam的工作方式
在该恶意软件成功潜入系统后,首先映入受害人眼帘的是”勒索信”。乍一看与其它勒索软件并无差别,但只有一点不同看似无关紧要。一改其它”同类”的行为(向受害人提供验证赎金支付的外部地址),而只显示一个点击按钮:”本人已支付,请验证。”
而现实中,这一区别相当大。只要用户点击这一按钮,就会出现一条消息:支付未能成功验证,且每次点击时如果犯罪分子未能收到赎金的话,都将删去受害人的一个文件。这样做的目的可能是想让受害人变得紧张不安,这样就能让他们多付几次钱。
但其实这只是个骗局—对受害人来说绝不是好事。该勒索软件声称将用户的文件移至一个”隐藏的加密区域”,但事实上,早在显示勒索消息前就已将文件全部删除。所谓”恢复文件”完全是睁眼说瞎话。
思科Talos安全情报和研究小组的研究专家们解释道,简单粗暴地将文件全部删除,显然意味着这些网络犯罪分子连简单的cryptoblock和文件锁定技术都未掌握。
基于这一点可以看出,Ranscam应该不会与任何重大网络攻击有关;它只是简单地提示受害人赎金未能成功支付(不必多说,犯罪分子赚得的赎金越多,就愈加坚信勒索软件是一种极佳的生财之道)。
所有被Ranscam删除的文件都没有办法恢复;保护文件安全唯一的办法只有是”主动出击”。因此我们的计划如下:
1.千万不要打开附件,也不要点击任何可疑的链接。目前尚不知Ranscam的传播方式,但通常来说都是通过电邮附件和恶意或遭黑客入侵的网站进行传播。如果你不能100%确定安全,就千万不要点击。
2.定期备份数据并将备份内容保存在外部存储设备内。如果有勒索软件加密或删除了你的文件,你完全可以从备份中进行恢复。
3.使用可靠的反病毒解决方案。卡巴斯基安全软件不仅能检测出Ranscam(Trojan-Ransom.MSIL.Agent),还能在该勒索软件大肆破坏前即予以查杀。
提示