伪装成堡垒之夜外挂的勒索软件Syrk

2019 年09 月23日

网络犯罪分子总是试图利用所有受公众喜爱和关注的事物,包括。恶意软件通常会伪装成游戏的盗版或移动端版本,哪怕这款游戏并没有发布过移动版本。

近期出现了一个名为Syrk的勒索软件加密器。堡垒之夜是一款在短短两年内就拥有了2.5亿忠实玩家的流行游戏,Syrk伪装成该游戏的外挂。它宣称自己整合了Aimbot和WH/ESP两大功能,即能够自动瞄准并定位游戏中的其他玩家。但实际上,该程序的真正功能是加密受害者的文档并索要赎金。

Syrk勒索软件是如何运作的

Cyren的研究者表示,Syrk基本上是开源勒索软件的完整副本。一旦被执行,软件就会自动连接到指令控制服务器并禁用以下程序:

  • Windows Defender
  • UAC用户账户控制(请求管理员操作权限的系统)
  • 例如任务管理器、进程监视器、进程管理(Process Hacker)等能够检测到恶意程序感染的进程监控程序。

加密器还会将自身添加到开机自动加载列表中,所以用户无法通过重启的方式摆脱它。如果有任何USB存储设备连接到受感染的电脑,那么Syrk也会试图感染它们。

随后恶意软件将定位并加密媒体文件、文档、表格、演示文稿、压缩包、PS文件、Microsoft Visual Studio项目文件等。所有经加密的文件将显示.SYRK的扩展名。

下图显示了无法关闭的勒索界面。

弹框以《v字仇杀队》中的标志性面具为背景图片,上面的文字显示,通过邮件联系犯罪分子并支付赎金是恢复文件的唯一方法。而且Syrk要求受害者必须在限定的时间内支付赎金,每过两小时Syrk就会删除一部分加密文件,它们会从相册开始下手,然后删除桌面文件,最后清空用户个人文档。

如何免费恢复文件

值得庆幸的是,即便Syrk已经渗入你的电脑并加密你的文档,你也无需支付赎金。它的现有版本会在受感染的机器本地存储解密文件所需的密钥。你可以在C:\Users\Default\AppData\Local\Microsoft\这个路径下找到该密钥,它的文件名通常是-pw+.txt或+dp-.txt。

恢复文件的步骤:

  • 复制密钥。
  • 在索要赎金的窗口点击 “显示我的ID” ,新的页面上将显示你的ID以及 “输入密钥解密文件” 输入框。
  • 将密钥复制到相应位置并点击 “解密我的文件”

随后,程序将恢复所有加密的照片和文档,并创建执行两个.exe,清理恶意软件留下的其他内容。

还有另一种稍难一些的方法能够恢复文件。该恶意软件中包含了解码组件,只要能够成功地提取并执行该组件就可以恢复所有文档。不过你需要手动删除受感染的文件。

保护自己免受勒索软件的侵害

研究人员表示,尽管可能需要一些专业的帮助,但被Syrk删除的数据是可恢复的。目前为止,受害者只需要通过本地存储的密钥就能恢复文件,然而恶意软件的创造者可能会重新编写这一工具,要求受害者必须先支付赎金才能进入解密文件界面。总之,保护自己的最佳策略一定是避开勒索软件的侵害。

  • 不要从不可信的来源下载程序。特别是当它们承诺自己的功能十分强大,能够带来绝佳的游戏体验时,就需要格外小心。
  • 备份并存储所有重要文件,确保无法从您的个人电脑直接访问。如果需要使用外接硬盘或闪存盘,请记得在完成备份之后及时移除硬盘。
  • · 安装使用可靠的安全保护解决方案。卡巴斯基安全软件 能够准确检测到Syrk恶意软件,即便用户尝试下载或运行该程序,卡巴斯基也能帮助用户免受其侵害.