freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?
2019-04-28 10:00:42
所属地 四川省

最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。

robbinhood-header.jpg

也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。

这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。

用户:???

软件特性

根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后的攻击者目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。

虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的样式。

当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别是_Decryption_ReadMe.html,_Decrypt_Files.html,_Help_Help_Help.html和_Help_Important.html。

ransom-note-partial.jpg

这些赎金记录文档将会记录所有有关受害用户计算机上所发生的事件,包括赎金金额,以及他们所用的Tor网站链接信息等。用户可以在这些网站上给攻击者留言或解锁3个不超过10MB的文件。

赎金票据中所使用的地址是:

http://xbt4titax4pzza6w.onion/

https://xbt4titax4pzza6w.onion.pet/

https://xbt4titax4pzza6w.onion.to/

不同的票据对应不同的金额,具体则是取决于用户想要解锁单个文件还是整个计算机或者是整个网络。

例如,我们看到的赎金票据所显示的价格分别是3个比特币和7个比特币。并且还带有额外的注释,在被加密四天之后若仍未支付,赎金将会变为10000美元。

罗宾汉在关注你的隐私?

在勒索软件的支付页面上,RobbinHood的开发人员表示,他们一直在关注用户的隐私,并且在用户付款之后会删除相应的加密密钥和用户IP地址。

“有一件事我希望各位知道,您的隐私对我们来说非常重要,您的所有记录(包括IP地址和加密密钥)都会在您支付赎金后删除。此外,您的比特币支付地址也是专用的,不会有其他人知道,请放心。”

tor-payment-site.jpg

然而,更有趣的是,他们告知受害者不必费力去举报他们,因为他们目前所处的境地隐秘且安全。

“不必向任何人提及我们的存在,我们的服务器没有任何关于网络数据和信息的事件。”

简而言之,举报了也没用。

安全专家表示,这是第一次看见勒索软件给用户提意见,并且还声明他们会保护受害者被软件感染的数据。他们还暗示受感染的企业可以支付赎金并且不会对外宣传他们遭受勒索的负面消息。

很神奇的操作。

罗宾汉的战利品

目前,被RobbinHood攻击的范围已覆盖了美国北卡罗来纳州格林维尔市的整个网络。

greenville-tweet.jpg

根据北卡罗来纳州新闻报道,该城市几日前被恶意软件RobbinHood袭击,在确定损失之后不得不关闭了整个城市的网络。随后联系了执法部门,当前多个机构正联合调查此次袭击事件。

“联邦调查局特工现在正在决定如何解决本次袭击事件。国家信息技术、国家紧急事务管理部门等多个部门都在处理此案。”

不幸的是,格林维尔并不是唯一受到攻击的城市。BleepingComputer和MalwareHunterTeam昨日联合发布了关于勒索软件的推文,表示一直在关注本次事件的受害者。另外,MalwareHunter表示这些受害者都还没有支付过赎金。

IOCs

关联文件名:

_Decryption_ReadMe.html

_Decrypt_Files.html

_Help_Help_Help.html

_Help_Important.html

赎金备注文本:

您的文件怎么了?

您的所有文件都被使用RSA-4096的方式加密了,详情请访问:https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA是现代计算机用于加密和解密数据的算法,是一种非对称加密算法。

不对称意味着有两个不同的键。因此也被称为是公钥加密,因为其中的任何一个密钥都可给别人:

1 - 我们使用“公钥”加密您的文件;

2 - 您可以使用特定的“私钥”来解密这些文件,您的私钥就在我们手中。(如果没有私钥,则无法恢复您的文件)

您的数据是否还拿的回来?

答案是肯定的。我们有一个包含所有私钥的解密工具。只需要按我们说的操作,就可以获取您的数据:

方案1

第一步:您必须为每个被加密的系统支付3个比特币;

第二步:回复我们您想要解锁的系统的主机名,随后等待确认并获得您的解密工具。

方案2

第一步:您必须向我们支付7个比特币来解锁被加密的所有系统;

第二步:通过留言告诉我们,并等待获取解密工具。

支付比特币的地址是:xxxxxxxxxxx

留言地址:http://xbt4titax4pzza6w.onion/xxxx/

备用地址:https://xbt4titax4pzza6w.onion.pet/xxxx/

https://xbt4titax4pzza6w.onion.to/xxxx/

请使用洋葱浏览器访问网址。

如果您无法访问链接,请按如下步骤操作:

第一步:下载洋葱浏览器:https://www.torproject.org/download/download.html.en

第二步:运行浏览器并等待链接;

第三步:访问我们的网站并留言。

如果在使用浏览器的过程中遇到问题,请自行百度“如何使用洋葱浏览器”。

如果您想要确认我们是否真的拥有解密工具,您可以在网站上上传3个不超过10MB的文件,我们将会证明一切。

比特币哪里买?

最简单的方式是通过LocalBitcoins购买,但您也可以直接搜索“在线购买比特币”来获取更多渠道。

What happened to your files?

All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:

1 - We encrypted your files with our "Public key" 

2 - You can decrypt, the encrypted files with specific "Private key" 

and your private key is in our hands ( It's not possible to recover your files without our private key )

Is it possible to get back your data?

Yes, We have a decrypter with all your private keys. We have two options to get all your data back.

Follow the instructions to get all your data back:

OPTION 1

Step 1 : You must send us 3 Bitcoin(s) for each affected system

Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter

OPTION 2

Step 1 : You must send us 7 Bitcoin(s) for all affected system

Step 2 : Inform us in panel, wait for confirmation and get all your decrypters

Our Bitcoin address is: xxxxxxxxxxx 

BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY

Access to the panel ( Contact us )

The panel address: http://xbt4titax4pzza6w.onion/xxxx/

Alternative addresses

https://xbt4titax4pzza6w.onion.pet/xxxx/

https://xbt4titax4pzza6w.onion.to/xxxx/

Access to the panel using Tor Browser

If non of our links are accessible you can try tor browser to get in touch with us:

Step 1: Download Tor Browser from here: 

https://www.torproject.org/download/download.html.en

Step 2: Run Tor Browser and wait to connect

Step 3: Visit our website at: panel address

If you're having a problem with using Tor Browser, Ask Google: how to use tor browser

Wants to make sure we have your decrypter?

To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.

Where to buy Bitcoin?

The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online.

*参考来源:bleepingcomputer,Karunesh91编译,转载请注明来自FreeBuf.COM

# 恶意软件 # 加密勒索
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者