Pegasus 勒索软件加密受害者系统驱动器
我们的团队在检查新文件样本提交时发现了勒索软件程序 Pegasus。当我们在测试机器上运行 Pegasus 样本时,它会加密文件并修改其名称。
原文件名被附加了随机字符串,如“1.jpg”被附加为“1.jpg.tBC8M”,“2.png”被附加为“2.png.qGuj7”,加密完成后,存入了一封名为“Ghost_ReadMe.txt”的勒索信。
赎金通知通知受害者,由于加密,他们的文件无法访问。它向受害者保证,他们可以通过从攻击者那里购买解密工具来检索数据。赎金金额为 350 美元的比特币加密货币。付款后,受害者被要求提供交易证据,之后他们被承诺收到解密密钥。
Pegasus 勒索信要求支付 350 美元
Pegasus勒索病毒生成的“Ghost_ReadMe.txt”文件全文如下:
Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.How Can I Decrypt Files?
- You Can Buy Crypto Here: hxxps://www.coinmama.com/
- Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
- Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
- Contact Our email address: ransom.data@gmail.com
Note: Do Not Use Third Party Decryption Tools
勒索软件最常见的攻击媒介是什么?
勒索软件可以通过各种攻击媒介渗透系统,但最常见的攻击媒介包括:
网络钓鱼电子邮件:攻击者经常通过包含恶意附件或链接的网络钓鱼电子邮件分发勒索软件。这些电子邮件可能会冒充合法实体或组织,诱使收件人点击链接或下载包含勒索软件负载的附件。
恶意网站:勒索软件可以通过恶意网站或被入侵的合法网站进行传播。访问此类网站或点击恶意广告可能会导致勒索软件在受害者的系统上自动下载并执行。
漏洞工具包:网络犯罪分子利用漏洞工具包利用软件或操作系统中的漏洞来传播勒索软件。这些工具包针对尚未修补的已知漏洞,使攻击者能够未经授权访问系统并部署勒索软件。
远程桌面协议 (RDP):攻击者可能会暴力破解 RDP 凭证或利用弱密码远程获取对系统的未授权访问权限。一旦进入系统,他们就可以直接在受感染的系统上部署勒索软件。
驱动下载:勒索软件可以通过驱动下载进行传播,即在受害者访问受感染或恶意网站时,恶意软件会在未经受害者同意或不知情的情况下自动下载并安装到受害者的系统中。
恶意广告:网络犯罪分子可能会通过合法网站上显示的恶意广告(恶意广告)来传播勒索软件。点击这些广告可以将用户重定向到托管勒索软件的网站或启动勒索软件负载的自动下载。
远程代码执行 (RCE): Web 应用程序或服务器软件中的漏洞可被利用来远程执行任意代码。攻击者可以利用 RCE 漏洞将勒索软件部署到服务器或联网设备上。
文件共享网络:勒索软件可以通过点对点 (P2P) 文件共享网络或受感染的网络共享进行传播。通过这些网络共享的受感染文件可能会导致勒索软件传播到连接到网络的其他用户或设备。