勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件。
ID Ransomware服务宕机了4个小时
勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码。随后他发动了第二次DDoS攻击,证明那确实是他。但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击。在这次攻击期间,服务并没有停止。
上面这份代码是勒索软件Enjey开发者给媒体的,使用C#编写,代码试图持续向ID Ransomware上传两个文件。这攻击手法是在不咋地,但确实在第一次攻击期间搞出了不少垃圾流量。
据ID Ransomware的MalwareHunter说,第一次攻击每小时有20万个上传请求, 第二次攻击则小的多,半个小时内打了2万个请求。攻击很快就被迁移了。但
有个细节挺逗的
问:你们为什么不用cloudflare迁移ddos攻击?
答:我们网站上有cloudflare,(目前的流量)就是通过它……但是需要手动告诉它屏蔽
Enjey开发者疯了 因为研究人员解密了他的勒索软件
DDoS 攻击目标主要针对 ID Ransomware上传部分,那是它的主要功能。ID Ransomware是文件的一种服务,11 个月前推出,允许勒索受害者上传一封勒索信复印件和加密文件的样本,从而确定攻击他们电脑的是哪个勒索软件家族。
Enjey开发者告诉媒体,他之所以发起 DDoS 攻击,因为 ID Ransomware业务实在让他抓狂,居然敢索引他勒索他上周二才发布的勒索软件(3 月 7 日)。而让他更愤怒的是,对方居然找到方法破解自己的勒索软件。
勒索软件Enjey的工作原理并不复杂
按照多位研究员对Enjey勒索软件的分析, 相比其他勒索软件来说,Enjey只是一个简单的软件,勒索软件只有一个简单的加密过程,据Lawrence Abarms称, Enjey 使用AES-256 算法加密文件,并为每个向量生成一个标识符 (GUID) ,然后将其与解密密钥一同发送到一台远程服务器,远程服务器 C&C 地址如下:
http://black-wallet.ru/css/add_text.php?data="[victim data]"
Enjey还使用如下命令删除卷影复制,使受害者无法使用数据恢复软件恢复数据
vssadmin delete shadows /all /Quiet
加密进程会加密所有文件,只是跳过如下文件夹
Program Files(x86)$Recycle.BinWindowsBootSystem Volum Information
在加密进程完成后,Enjey在每个加密文件后面添加如下后缀名
name: .encrypted.contact_here_me@india.com.enjey
在所有动作完成后,Enjey 勒索软件会在用户的电脑上留下一个文件README_DECRYPT.txt.
勒索软件Enjey的开发者似乎关闭了他的C&C服务器,这意味着勒索软件 Enjey 的分发已经停止了。但他对外宣传已经开始开发Enjey 2.0.
SHA256 hash:
8f51ce5e3b3ad1ee8c98e843177711a7759c55c96a9e9becaf77f54f811c69e3
原文发布时间:2017年3月24日
本文由:bleepingcomputer发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/decrypt-ransomware-been-madness-retaliation
本文来自合作伙伴安全加,了解相关信息可以关注安全加网站