新闻快讯
< >

伪装成VPN应用程序的勒索软件Tyran正在伊朗蔓延

伊朗计算机应急响应小组协调中心(Iran CERTCC)在近期发布了关于目前在该国活跃的勒索软件分销活动的安全警报。警报中提到的勒索软件Tyrant由G Data安全研究员Karsten Hahn在上周一(10月16日) 发现。

据Iran CERTCC称,网络犯罪分子通过受欢迎的VPN应用程序——Psiphon VPN的恶意版本进行Tyran的分发,并正在试图敲诈被感染的用户。

伪装成VPN应用程序的勒索软件Tyran正在伊朗蔓延-E安全

伪装成VPN应用程序的勒索软件Tyran正在伊朗蔓延-E安全

受害人被要求在24小时支付相当于15美元的比特币。Tyran被设计为专门针对伊朗,因为目前的赎金票据仅有波斯语版本,而赎金票据中也提及了两个伊朗本地支付服务商exchange.ir和webmoney724.ir。

此外,赎金票据还提供了两种联系方式,电子邮箱地址rastakhiz@protonmail.com和Telegram帐号@Ttyperns。

Tyran是DUMB家族的一个变种

Bleeping computer创始人兼分析师Lawrence Abrams首次在2017年1月发现了这种DUMB,并在在2017年6月确定了一个针对波兰的DUMB变种。

DUMB起初被认为是一个“笑话”,因为它的第一个变种采用简单的XOR算法加密文件,并将加密密钥保存在被加密文件本身内。另外,第一个变种的编码质量很低,当受害者关闭显示赎金票据的窗口时,它将自动解密。

研究人员正在调查Tyran是否可解密

除了将赎金票据转换为波斯语外,Tyran似乎也并没有在DUMB做出任何其他修改。目前,安全专家MalwareHunter正在调查用于之前DUMB变种的解密方法能否适用于Tyran。

Iran CERTCC 在其安全警报中描述:“Iran CERTCC分析师在Tyran中发现相同的低质量编码。初步分析表明,这是应该是较大攻击的第一个版本或试用版本。因为尽管Tyran执行了加密操作,但有时并不能成功加密受害者文件。而且,尽管Tyran的确成功加密了受害者的系统注册表,但一旦重新启动系统后,这个加密将无法被保持。”