国内现身israbye伪勒索病毒:永久摧毁受害者文件 - 栋科技

日前，国内安全杀软360发现了一款流入国内的伪勒索病毒，被命名为israbye，和其他勒索病毒完全不同的是，israbye勒索病毒在入侵了用户计算机后，就会对其资料进行摧毁，即便是缴纳赎金依旧无法恢复。

据了解，该病毒在入侵了受害者电脑后，会向用户展示一段信息，称他们保证会免费的帮助受害者恢复文件，但这有一个大的前提，就是“等他们收复巴勒斯坦，收复艾克萨……”，因此，从某种意义上来说，israbye勒索病毒或许就是为了宣扬和传播这一主张！

该病毒向用户展示的信息除了英文版版本之外，还罕见的对应了一段希伯来语，和“END OF ISRAEL”的标题相结合，无疑是向受害者展示他们的这一主张，并且也宣示了，他们并不是为了钱财而去攻击用户设备的，这并不是一个诸如WannaCry等传统的以锁定用户文件索取钱财的勒索病毒！

据了解，israbye勒索病毒使用的是VS2012编写的，安全研究人员在对病毒样本进行分析的时候发现，病毒程序记录的pdb信息显示， 其作者的用户名为Ahmed。

当这款勒索病毒入侵了用户的电脑设备并被执行后，病毒首先会获取系统的启动目录和临时目录，将自身复制到临时目录下，并命名为ClickMe.exe，然后向启动目录下释放cry.exe、cur.exe、lock.exe、index.exe这四个程序。

一旦释放完成，就会首先加密当前用户的目录，然后对用户电脑的磁盘进行循环加密，该循环从1开始，除了会对用户的C盘，也就是系统盘不做加密之外，所有的盘符均难逃此劫，加密过程中，它会将用户的文件资料统一替换为“Fuck-israel, *** You Will neverRecover your Files Until Israel disepeare”（其中星号指的是病毒从中毒设备中获取的用户名），并将文件的后缀名统一的修改为.israbye。

其中，被病毒向启动目录释放出来的四个程序分别履行自己的职责，任务完成后就会删除自身：cry.exe程序主要负责调用和修改用户的壁纸；cur.exe则负责在鼠标指针后面添加一个“END OF ISRAEL”的小尾巴；index.exe负责弹出信息说明的对话框，并释放和播放一段背景音乐；lock.exe则是负责干掉一些分析人员常用的工具，并启动index.exe程序和位于临时目录中的病毒主程序ClickMe.exe。

回顾上述加密过程，我们不难发现，其实israbye勒索病毒并没有实现对用户文件进行加密的行为，而是将文件的内容做了统一的替换，而且修改了后缀名，这也就是为什么我们称其为伪勒索病毒的重要原因了。

而通过上述方式“加密”的文件，根本不存在被恢复的可能性，这就意味着，即便用户支付赎金，依旧无法等到病毒宣扬的会免费帮助受害者恢复加密文件的那一天！

据360安全卫士监控的数据显示，israbye勒索病毒在国内尚处于小规模传播阶段，但如果不幸中招的话，恐怕只会导致所有文件完全损坏，因此，笔者提醒诸位用户，请务必保持操作系统为最新状态，必要的话可以开启杀软，并时刻记得备份数据！