Pegasus 勒索軟體加密受害者係統驅動器
我們的團隊在檢查新的文件樣本提交時遇到了 Pegasus,一個勒索軟體程式。當我們在測試機器上執行 Pegasus 樣本時,它會加密檔案並修改其名稱。
原始檔名被隨機字串擴展,例如“1.jpg”變成“1.jpg.tBC8M”,“2.png”變成“2.png.qGuj7”。完成加密過程後,名為「Ghost_ReadMe.txt」的勒索信被存入。
勒索信通知受害者,他們的文件由於加密而無法存取。它確保他們可以透過從攻擊者那裡購買解密工具來檢索資料。贖金金額指定為 350 美元的比特幣加密貨幣。付款後,受害者被要求提供交易證據,之後他們承諾收到解密金鑰。
Pegasus 勒索贖金票據要求支付 350 美元
Pegasus勒索軟體產生的「Ghost_ReadMe.txt」檔案完整文字如下:
Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.How Can I Decrypt Files?
- You Can Buy Crypto Here: hxxps://www.coinmama.com/
- Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
- Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
- Contact Our email address: ransom.data@gmail.com
Note: Do Not Use Third Party Decryption Tools
勒索軟體最常見的攻擊媒介是什麼?
勒索軟體可以透過各種攻擊媒介滲透系統,但一些最常見的攻擊媒介包括:
網路釣魚電子郵件:攻擊者經常透過包含惡意附件或連結的網路釣魚電子郵件來分發勒索軟體。這些電子郵件可能會冒充合法實體或組織,誘使收件者點擊包含勒索軟體負載的連結或下載附件。
惡意網站:勒索軟體可以透過惡意網站或受損的合法網站進行分發。造訪此類網站或點擊惡意廣告可能會導致勒索軟體在受害者的系統上自動下載和執行。
漏洞利用工具包:網路犯罪分子使用漏洞利用工具包利用軟體或作業系統中的漏洞來傳播勒索軟體。這些工具包針對尚未修補的已知漏洞,允許攻擊者未經授權存取系統並部署勒索軟體。
遠端桌面協定 (RDP):攻擊者可能會暴力破解 RDP 憑證或利用弱密碼來遠端取得對系統的未經授權的存取。一旦進入內部,他們就可以將勒索軟體直接部署到受感染的系統上。
偷渡式下載:勒索軟體可以透過偷渡式下載傳播,當造訪受感染或惡意網站時,惡意軟體會在受害者未經同意或不知情的情況下自動下載並安裝到受害者的系統上。
惡意廣告:網路犯罪者可能透過合法網站上顯示的惡意廣告(惡意廣告)傳播勒索軟體。點擊這些廣告可以將使用者重新導向到託管勒索軟體的網站或啟動勒索軟體有效負載的自動下載。
遠端程式碼執行 (RCE): Web 應用程式或伺服器軟體中的漏洞可被利用遠端執行任意程式碼。攻擊者可以利用 RCE 漏洞將勒索軟體部署到伺服器或網路設備。
檔案共享網路:勒索軟體可以透過點對點 (P2P) 檔案共享網路或受損的網路共享進行傳播。透過這些網路共享的受感染檔案可能會導致勒索軟體傳播到連接到網路的其他使用者或裝置。