来源:小葱区块链
名为DeathRansom的比特币勒索病毒在诞生初期几乎沦为笑柄,因为受感染的用户发现这个病毒锁死文件的逻辑非常粗糙,仅仅是在原始文件文件名后添加了一个“.wctc”的扩展名,而用户只需要把这个扩展名删除,文件就可以恢复正常使用了。不过在大约一周之前,这个被视作是“笑话”的比特币勒索病毒,却出现了重新爆发的迹象,而当被感染用户想去删除扩展名时发现,这种病毒已经大幅进化,被锁死的文件在命名未被改变的情况下被彻底加密,已经无法再通过简单地方法消除该勒索病毒的影响。
11月20日以来,在勒索软件标记网站上与“DeathRansom”有关的被感染提交数量骤增。虽然在11月20日当天的集中爆发之后的几天时间里,被感染的提交数量有所下降,但是值得注意的是,在过去一周时间里,每天都有相当数量的“新受害者”出现,因此,这引发了市场的警觉,因为这很可能意味着这个勒索病毒目前仍然在被积极地进行分发。
不过到目前为止,并没有一家安全机构明确解释了这个勒索病毒究竟是通过什么渠道进行分发,或者说究竟是如何进行扩散的。
关于这一疑问,有网友发现,在Reddit以及ID-Ransomware网站上的提交记录可以看到,许多被DeathRansom感染的受害者在最近一段时间还遭到了另一个勒索病毒STOP Ransomware的感染。由于STOP病毒仅通过软件捆绑的方式进行分发,因此DeathRansom可能也是通过类似的方式进行分发的。
与之前曾经出现过的比特币勒索病毒类似,每当用户被DeathRansom感染时,病毒将会删除系统备份,然后对被感染计算机上的所有文件进行加密,而并不仅限于系统文件。此外DeathRansom当前的版本并不会在被加密文件后添加扩展名,而仅保留其原始名称,但是文件的数据都会被进行加密。
目前辨识文件已经被DeathRansom加密的唯一方法是,被加密文件的字符串末尾会出现ABEFCDAB的代码。
在每个被加密文件所在的文件夹中,勒索病毒都会创建一个名为read_me.txt的文档,其中包含被感染计算机的唯一“LOCK-ID”和用于联系勒索软件开发人员或机构的电子邮件地址。目前已经有安全公司开始分析这一勒索软件,但是到目前为止还没有公司或者团队公布找到或者公布解密的方法。
“有趣”的是,为了保证“受害人”能够顺利支付比特币酬金,勒索病毒创建的文档中还会包含如何购买比特币的指导,以及指向加密货币场外交易平台LocalBitcoins的链接,甚至还有Coindesk发布的关于比特币的科普文章链接。对此,有网友戏称,DeathRansom病毒的制作团队堪称推广比特币的“业界良心”。
