新闻快讯
< >

勒索软件Locky再现新变种,使用扩展名.Asasin加密文件

在周二,勒索软件Locky的一个变种Asasin被发布,使用扩展名.asasin加密文件。

目前,此变种正通过垃圾电子邮件进行分发,电子邮件主题类似于  “文件invoice_95649_sign_and_return.pdf已完成”。发件人显示为“RightSignature”,发件地址为“document@rightsignature.com”。

 勒索软件Locky再现新变种,使用扩展名.Asasin加密文件-E安全

值得庆幸的是,这些分发垃圾邮件的人员似乎不太会正确添加附件,这导致大多数收件人无法正常看到这些附加。许多邮件中的附件都只是显示为下面图片中所示的一组base64编码文本,而没有真实的文件被添加到附件中。

 勒索软件Locky再现新变种,使用扩展名.Asasin加密文件-E安全

此外,即使在少数邮件中看到了正常的附件,也是一些.7zip或.7z文件,这也导致很多没有安装解压软件的收件人无法打开它们。

 勒索软件Locky再现新变种,使用扩展名.Asasin加密文件-E安全

当然,值得注意的是,这些.7zip或.7z文件中包含了VBS文件。当VBS文件被执行时,将会从远程站点下载Asasin的可执行文件并执行。

Asasin和之前ykcol之间并没有什么太大的区别。最大的变化是, Asasin在加密文件时,它会修改文件名并追加.asasin扩展,而不是.ykcol。当重命名文件时,它使用格式[first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] - [12_hexadecimal_chars] .asasin。

 勒索软件Locky再现新变种,使用扩展名.Asasin加密文件-E安全

这意味着文件名为1.png 的文件在被加密后,其文件名将变更为E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin。

当Asasin完成对计算机文件的加密后,它会删除下载的可执行文件。然后,会显示一个赎金票据,提供有关如何支付赎金的信息。这些赎金票据的名称也已经更改为  asasin.htm和asasin.bmp,赎金金额依旧为25 比特币(约值1.2美元 )。

 勒索软件Locky再现新变种,使用扩展名.Asasin加密文件-E安全

与ykcol刚被发布出来时一样,短期内都不会有解密. asasin文件的方法。恢复加密文件唯一的方法是通过文件备份,或者是你足够幸运能够通过卷影副本恢复成功。Asasin同样也会试图删除卷影副本,但在极少数情况下,由于某种原因Asasin的这个操作也存在失败的概率。因此,如果你没有可行的文件备份,卷影副本依旧会是你恢复加密文件的最后手段 。