新发现的一件勒索软件主要是为了摧毁受害者的文件而创建的,而不是将其加密并持有赎金。
被称为RedEye的恶意软件似乎是Annabelle勒索软件背后的开发者的创造者,他们还声称已经制造了几年前首次出现的JigSaw勒索软件(思科称该人员也可能对其他几个家族负责) 。
与Anabelle和JigSaw一样,RedEye的破坏性使它在人群中脱颖而出。虽然绝大多数勒索软件家族的创建目的都是为了为他们的作者和运营商创造收入,但RedEye会很乐意销毁用户的文件,即使这些文件没有经济收益。
Bart Blaze 发现的新威胁文件大小为35.0 MB。这是多个媒体文件(图像和音频文件)嵌入二进制文件的结果。其中,有三个.wav文件(child.wav,redeye.wav和suicide.wav)意在发出令人毛骨悚然的声音,旨在吓唬受害者。
恶意软件作者还使用ConfuserEx和压缩以及其他一些技巧来保护二进制文件。该文件中还嵌入了第二个二进制文件,能够替换MBR(主引导记录)。
一旦它感染了一台计算机,勒索软件会执行一系列操作,使删除成为一个困难的过程。该威胁会禁用任务管理器并隐藏受害者机器的驱动器。
然后,RedEye会显示赎金通知,通知受害者他们的文件已经使用AES256加密,他们应该访问.onion网站并向指定地址支付0.1比特币。这应该会导致解密密钥被传递给它们。
受害者需要在4天内支付赎金,并且该恶意软件声称在这段时间结束后能够“完全摧毁”计算机。
勒索软件中可用的选项包括查看加密文件并解密它们,获得支持以及“销毁PC”的可能性。
如果选择了最后一个选项,则会在后台显示GIF,并可选择继续操作(“执行”按钮),另一个选项可关闭图像。如果选择“执行”,与4天窗口结束时相同,恶意软件会重新启动计算机并替换MBR。
因此,当受害者在系统上启动时,他们会收到一条消息,通知他们“RedEye终止了他们的计算机”。恶意软件作者用“iCoreX”处理该消息。
Blaze还指出,尽管声称使用AES256安全地加密了文件,RedEye似乎实际上“用0字节覆盖或填充文件”,因此使它们无用。恶意软件还会将.RedEye扩展名附加到受影响的文件。
“尽管看起来RedEye勒索软件比它的前任Annabelle有更多的技巧,但同样的结论也是如此:不支付勒索软件。至于勒索软件的实际用途:它可能被认为是雨刷器的勒索软件,然而,看起来作者喜欢展示他或她的技能