专栏首页FreeBuf号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?

号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?

最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。

也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。

这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。

用户:???

软件特性

根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后的攻击者目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。

虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encryptedb0a6c73e3e434b63.encrobbinhood”的样式。

当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别是DecryptionReadMe.html,DecryptFiles.html,HelpHelpHelp.html和Help_Important.html。

这些赎金记录文档将会记录所有有关受害用户计算机上所发生的事件,包括赎金金额,以及他们所用的Tor网站链接信息等。用户可以在这些网站上给攻击者留言或解锁3个不超过10MB的文件。

赎金票据中所使用的地址是:

http://xbt4titax4pzza6w.onion/https://xbt4titax4pzza6w.onion.pet/https://xbt4titax4pzza6w.onion.to/

不同的票据对应不同的金额,具体则是取决于用户想要解锁单个文件还是整个计算机或者是整个网络。

例如,我们看到的赎金票据所显示的价格分别是3个比特币和7个比特币。并且还带有额外的注释,在被加密四天之后若仍未支付,赎金将会变为10000美元。

罗宾汉在关注你的隐私?

在勒索软件的支付页面上,RobbinHood的开发人员表示,他们一直在关注用户的隐私,并且在用户付款之后会删除相应的加密密钥和用户IP地址。

“有一件事我希望各位知道,您的隐私对我们来说非常重要,您的所有记录(包括IP地址和加密密钥)都会在您支付赎金后删除。此外,您的比特币支付地址也是专用的,不会有其他人知道,请放心。”

然而,更有趣的是,他们告知受害者不必费力去举报他们,因为他们目前所处的境地隐秘且安全。

“不必向任何人提及我们的存在,我们的服务器没有任何关于网络数据和信息的事件。”

简而言之,举报了也没用。

安全专家表示,这是第一次看见勒索软件给用户提意见,并且还声明他们会保护受害者被软件感染的数据。他们还暗示受感染的企业可以支付赎金并且不会对外宣传他们遭受勒索的负面消息。

很神奇的操作。

罗宾汉的战利品

目前,被RobbinHood攻击的范围已覆盖了美国北卡罗来纳州格林维尔市的整个网络。

根据北卡罗来纳州新闻报道,该城市几日前被恶意软件RobbinHood袭击,在确定损失之后不得不关闭了整个城市的网络。随后联系了执法部门,当前多个机构正联合调查此次袭击事件。

“联邦调查局特工现在正在决定如何解决本次袭击事件。国家信息技术、国家紧急事务管理部门等多个部门都在处理此案。”

不幸的是,格林维尔并不是唯一受到攻击的城市。BleepingComputer和MalwareHunterTeam昨日联合发布了关于勒索软件的推文,表示一直在关注本次事件的受害者。另外,MalwareHunter表示这些受害者都还没有支付过赎金。

IOCs

关联文件名:

_Decryption_ReadMe.html_Decrypt_Files.html_Help_Help_Help.html_Help_Important.html

赎金备注文本:

您的文件怎么了? 您的所有文件都被使用RSA-4096的方式加密了,详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem) RSA是现代计算机用于加密和解密数据的算法,是一种非对称加密算法。 不对称意味着有两个不同的键。因此也被称为是公钥加密,因为其中的任何一个密钥都可给别人: 1 - 我们使用“公钥”加密您的文件; 2 - 您可以使用特定的“私钥”来解密这些文件,您的私钥就在我们手中。(如果没有私钥,则无法恢复您的文件) 您的数据是否还拿的回来? 答案是肯定的。我们有一个包含所有私钥的解密工具。只需要按我们说的操作,就可以获取您的数据: 方案1 第一步:您必须为每个被加密的系统支付3个比特币; 第二步:回复我们您想要解锁的系统的主机名,随后等待确认并获得您的解密工具。 方案2 第一步:您必须向我们支付7个比特币来解锁被加密的所有系统; 第二步:通过留言告诉我们,并等待获取解密工具。 支付比特币的地址是:xxxxxxxxxxx 留言地址:http://xbt4titax4pzza6w.onion/xxxx/ 备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/ https://xbt4titax4pzza6w.onion.to/xxxx/ 请使用洋葱浏览器访问网址。 如果您无法访问链接,请按如下步骤操作: 第一步:下载洋葱浏览器:https://www.torproject.org/download/download.html.en; 第二步:运行浏览器并等待链接; 第三步:访问我们的网站并留言。 如果在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。 如果您想要确认我们是否真的拥有解密工具,您可以在网站上上传3个不超过10MB的文件,我们将会证明一切。 比特币哪里买? 最简单的方式是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”来获取更多渠道。

What happened to your files?All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:1 - We encrypted your files with our "Public key" 2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )Is it possible to get back your data?Yes, We have a decrypter with all your private keys. We have two options to get all your data back.Follow the instructions to get all your data back:OPTION 1Step 1 : You must send us 3 Bitcoin(s) for each affected systemStep 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypterOPTION 2Step 1 : You must send us 7 Bitcoin(s) for all affected systemStep 2 : Inform us in panel, wait for confirmation and get all your decryptersOur Bitcoin address is: xxxxxxxxxxx BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAYAccess to the panel ( Contact us )The panel address: http://xbt4titax4pzza6w.onion/xxxx/Alternative addresseshttps://xbt4titax4pzza6w.onion.pet/xxxx/https://xbt4titax4pzza6w.onion.to/xxxx/Access to the panel using Tor BrowserIf non of our links are accessible you can try tor browser to get in touch with us:Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.enStep 2: Run Tor Browser and wait to connectStep 3: Visit our website at: panel addressIf you're having a problem with using Tor Browser, Ask Google: how to use tor browserWants to make sure we have your decrypter?To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.Where to buy Bitcoin?The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online.

*参考来源:bleepingcomputer,Karunesh91编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Karunesh91

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Youzer:一款针对活动目录环境的伪造用户生成器

    Youzer是一款针对活动目录环境的伪造用户生成器,Youzer的目标就是创建一个包含大量信息的活动目录环境,该工具使用了Python3代码库“faker”来生...

    FB客服
  • 走近科学 | ”种子“的前世今生

    *本文原创作者:追影人 0x00 前言 “种子”是生命的起点,是未来的希望,同时也解决了无数宅男腐女的寂寞时光。本文将带领各位童鞋了解BT种子(torrent)...

    FB客服
  • 超级加农炮(Great Cannon)缺陷探究之TTL篇

    前段时间Github遭遇大规模的DDoS攻击,一时间大家就幕后元凶议论纷纷,之后便有美国媒体指责中方拥有网络武器——“超级加农炮(The Great Canno...

    FB客服
  • 【面试高频问题】线程、进程、协程

    需要先对 IO 的概念有一定的认识: IO在计算机中指Input/Output,也就是输入和输出。

    小歪
  • 央视网黄乐:媒体行业风险管理体系设计与实现

    风险管理是一个比较大的概念,对于央视网来说,我们并不是在进行安全建设之初就设计了风险管理的目标,而是在大量基础工作和频繁对抗的过程中,逐步积累而形成的体系的雏形...

    FB客服
  • 命名实体识别 – Named-entity recognition | NER

    命名实体识别(Named Entity Recognition,简称NER),又称作“专名识别”,是指识别文本中具有特定意义的实体,主要包括人名、地名、机构名、...

    easyAI
  • Web前端安全学习-CSRF

    在数据库有了一层安全保护之后,攻击者们的目标,从服务器转移到了用户身上。由此,出现了CSRF攻击和XSS攻击。

    libo1106
  • IBM重磅开源Power芯片指令集?国产芯迎来新机遇?

    自去年 IBM 以 340 亿美元收购了 Linux 巨头红帽之后,这家 107 岁的蓝色巨人终于又在开源方面有大动作了!

    AI科技大本营
  • 亚马逊CTO:大数据也会带来大问题

    大数据文摘
  • 面试题:线程与进程区别

    今天在牛客网上看面经,看到了这个题目。线程和进程在学习操作系统时,是必学的科目之一。但是往往第一眼看上去,都会有点懵。今天整理一篇短文章,来写一下线程和进程的区...

    Python进击者

扫码关注云+社区

领取腾讯云代金券