Matrix勒索软件变种Fox发布:通过远程桌面传播
- A
安全研究员近期发现Matrix勒索软件的新变种,会在加密文件后为其添加. fox扩展名,远程桌面服务设备成攻击目标。
据悉,该变种病毒需攻击者手动安装到目标计算机,因此任何连接互联网且开启远程桌面的设备都会成为攻击目标。
安全专家分析发现,攻击者会通过扫描IP地址的方式寻找启用了远程桌面服务并联网的设备,然后再暴力破解登陆。
一旦登陆成功,就会将Matrix Fox变种病毒手动安装到目标设备,通过控制台窗口显示目标设备文件的实时加密过程。
比较好玩的是,Matrix Fox变种病毒会加密设备中所有的文件,也正是这一特点导致加密过程缓慢,很容易被监测到。
另外,该变种病毒能释放一个批处理文件,尝试关闭要加密的文件的所有打开的文件句柄,从而保证加密顺利完成。
而在每个文件夹中,变种病毒还会创建一个赎金票据,其中列举了联系方式和获取付款方式的说明及匿名联系账户。
除此之外,被成功加密的设备的说明壁纸也会被一个精简版的赎金票据的图片代替,中招的人无不感到好笑和无奈。
当加密过程技术后,变种病毒会执行并注册一该计划任务,运行高级权限文件执行计算机清理并禁用各种修复功能。
由于该软件会加密目标设备所有文件,因此被攻击者如果谨慎的话,还可以在其加密过程完成之前结束并恢复文件。
另外,建议开启远程桌面的用户不定时修改密码防止被暴力破解,最好是使用保密传输机制防止被攻击者嗅探进程。
当然了,随时备份自己的数据在任何时候都不过时,在今天解析的Matrix Fox变种病毒面前同样适用,这点必须注意。