国内现身israbye伪勒索病毒:永久摧毁受害者文件
日前,国内安全杀软360发现了一款流入国内的伪勒索病毒,被命名为israbye,和其他勒索病毒完全不同的是,israbye勒索病毒在入侵了用户计算机后,就会对其资料进行摧毁,即便是缴纳赎金依旧无法恢复。
据了解,该病毒在入侵了受害者电脑后,会向用户展示一段信息,称他们保证会免费的帮助受害者恢复文件,但这有一个大的前提,就是“等他们收复巴勒斯坦,收复艾克萨……”,因此,从某种意义上来说,israbye勒索病毒或许就是为了宣扬和传播这一主张!
该病毒向用户展示的信息除了英文版版本之外,还罕见的对应了一段希伯来语,和“END OF ISRAEL”的标题相结合,无疑是向受害者展示他们的这一主张,并且也宣示了,他们并不是为了钱财而去攻击用户设备的,这并不是一个诸如WannaCry等传统的以锁定用户文件索取钱财的勒索病毒!
据了解,israbye勒索病毒使用的是VS2012编写的,安全研究人员在对病毒样本进行分析的时候发现,病毒程序记录的pdb信息显示, 其作者的用户名为Ahmed。
当这款勒索病毒入侵了用户的电脑设备并被执行后,病毒首先会获取系统的启动目录和临时目录,将自身复制到临时目录下,并命名为ClickMe.exe,然后向启动目录下释放cry.exe、cur.exe、lock.exe、index.exe这四个程序。
一旦释放完成,就会首先加密当前用户的目录,然后对用户电脑的磁盘进行循环加密,该循环从1开始,除了会对用户的C盘,也就是系统盘不做加密之外,所有的盘符均难逃此劫,加密过程中,它会将用户的文件资料统一替换为“Fuck-israel, *** You Will neverRecover your Files Until Israel disepeare”(其中星号指的是病毒从中毒设备中获取的用户名),并将文件的后缀名统一的修改为.israbye。
其中,被病毒向启动目录释放出来的四个程序分别履行自己的职责,任务完成后就会删除自身:cry.exe程序主要负责调用和修改用户的壁纸;cur.exe则负责在鼠标指针后面添加一个“END OF ISRAEL”的小尾巴;index.exe负责弹出信息说明的对话框,并释放和播放一段背景音乐;lock.exe则是负责干掉一些分析人员常用的工具,并启动index.exe程序和位于临时目录中的病毒主程序ClickMe.exe。
回顾上述加密过程,我们不难发现,其实israbye勒索病毒并没有实现对用户文件进行加密的行为,而是将文件的内容做了统一的替换,而且修改了后缀名,这也就是为什么我们称其为伪勒索病毒的重要原因了。
而通过上述方式“加密”的文件,根本不存在被恢复的可能性,这就意味着,即便用户支付赎金,依旧无法等到病毒宣扬的会免费帮助受害者恢复加密文件的那一天!
据360安全卫士监控的数据显示,israbye勒索病毒在国内尚处于小规模传播阶段,但如果不幸中招的话,恐怕只会导致所有文件完全损坏,因此,笔者提醒诸位用户,请务必保持操作系统为最新状态,必要的话可以开启杀软,并时刻记得备份数据!