本文讲的是新勒索软件DynA-Crypt不仅要加密你的文件,而且窃取并删除它们,
一个名为DynA-Crypt的新勒索软件被GData公司的恶意软件分析师Karsten Hahn发现,DynA-Crypt不仅能加密你的数据,而且试图从受害者的计算机窃取大量信息。虽然勒索软件和信息窃取感染已经变得越来越普遍,但当你把两者结合到DynA-Crypt中,那攻击的威力似乎变得非常大了。
问题是,这个勒索软件是由许多独立的可执行文件和PowerShell脚本组成,这些组合不但能它加密你的文件,还能窃取你的密码和联系人,同时对你设备中的文件进行删除。
DynA-Crypt在删除你的数据时会窃取大量信息
根据PCrisk的分析,这个程序是由恶意软件创建工具包创建的,允许任何攻击者创建自己的恶意软件。这就为任何人创建恶意攻击工具提供了便利的条件,DynA-Crypt似乎就是这么被大家这么创建出来的。
虽然DynA-Crypt的勒索软件功能具有很大的攻击性,但真正的问题是这个程序会从计算机窃取的数据和信息。当受害者的设备运行时,DynA-Crypt将截取活动桌面,记录系统声音,记录键盘上输入的命令,以及从众多安装的程序中窃取数据。
DynACrypt窃取的项目和数据包括:
屏幕截图的信息 Skype的通讯信息 Steam游戏平台的信息 Chrome浏览器的信息 Thunderbird邮件信息 Minecraft游戏的信息 TeamSpeak 团队语音信息 Firefox浏览器的信息 录音信息
当DynA-Crypt窃取这些数据时,会将他们复制到一个名为%LocalAppData%\ dyna \ loot \的文件夹中,当DynA-Crypt准备将其发送给开发人员时,它会将信息先全部压缩到一个名为%LocalAppData%\ loot的文件中,然后再发送。
问题是,在DynA-Crypt盗取了你的数据后,不知道是处于什么原因,它会删除了很多它盗窃过数据的文件夹。
不过令人气愤的是,一般的恶意软件窃取你的数据就完了,但DynA-Crypt在得到你数据的同时还会删除了桌面上的所有东西,们甚至不偷取任何东西!
DynA-Crypt的勒索功能部分可以被解密
DynA-Crypt的勒索软件部分由PowerShell脚本驱动,该脚本使用称为AES的独立程序来加密受害者的数据。此脚本将扫描计算机以查找与以下扩展名匹配的文件并对其加密。
.jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png, .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001
当它加密文件时,它会将.crypt扩展名附加到加密文件的名称。这意味着一个名为test.jpg的文件将被加密并重命名为test.jpg.crypt。勒索功能还会删除计算机的卷影副本,以便你无法使用它来恢复文件。
当对DynA-Crypt计算机的文件进行加密时,会显示一个锁定屏幕,要求你支付50美元赎金,不过,DynA-Crypt的勒索功能可以很容易被解密。
原文发布时间为:2017年2月12日
本文作者:xiaohui
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。