天创培训:您身边的信息安全培训专家!
行业动态
死神降临:Thanatos成首款接受比特币现金作为赎金的勒索软件

  死神降临:Thanatos成首款接受比特币现金作为赎金的勒索软件

  新发现的勒索软件家族正在为每个被加密文件生成不同的加密密钥,但并不会对这些密钥保存,因此要想恢复文件几乎是不可能的。

  被称为“Thanatos(死神)”的勒索软件最初是由安全研究员MalwareHunterTeam发现的,并且已经被其他几位安全研究员分析过。

  其中一位名为Francesco Muroni的安全研究员就表示,当Thanatos在感染受害者设备时,它将为每个被加密文件使用一个新密钥。问题在于这些密钥从未在任何地方得到保存,这意味着即使受害者支付赎金,CISP培训勒索软件的开发者也没有任何一种方法来解密并恢复这些文件。因此,Muroni并不建议受害者出于任何原因支付赎金。

  在受感染设备上加密文件时,勒索软件会将。THANATOS扩展名附加到被加密文件的文件名中。例如,名为test.jpg的文件在被加密后将会被重命名为test.jpg.THANATOS。

  在完成加密后,勒索软件会连接到特定的URL以跟踪受感染设备的数量。在受害者每次登录受感染设备时,勒索软件还会生成一个被命名为“Microsoft Update System Web-Helper”的自运行密钥,以打开赎金票据“README.txt”。

  根据赎金票据显示的信息,受害者被要求发送价值200美元的数字加密货币到列出的三个钱包地址中的任意一个,并提示受害者通过电子邮件与其进行联系以获取解密程序。

  值得注意的是,通过钱包地址我们可以看出,Thanatos的开发者除了要求受害者使用比特币(BTC)和以太坊(ETH)作为赎金支付之外,还表示可以接受比特币现金(BCH)作为赎金。

  比特币现金(Bitcoin Cash,简称BCH或BCC)是由一小部分比特币开发者推出的不同配置的新版比特币,于2017年8月1日20:20分开始挖矿。

  比特币现金是基于比特币代码的修改而来的,在分叉之前它存储在区块链中的数据以及运行的软件与所有比特币节点都是兼容的,只是在分叉时,它会执行新的代码,打包大区块(将区块大小提升至8M)并形成新的链。相对来说,它是一种较年轻的新型数字加密货币。

  安全研究员Lawrence Abrams指出,勒索软件选择比特币或者以太坊作为赎金,这种现象很普遍。但选择比特币现金作为赎金,这还是他们首次观察到。

  另外,几位安全研究员都表示Thanatos的编码并不精良,它的加密部分甚至可以说是加密部分“乱七八糟”。但它的确引入了一些新的功能,就比如它选择了比特币现金作。

  尽管由于Thanatos并未保存加密密钥,导致即使受害者支付赎金也无法恢复文件。好消息是,Muroni指出可以采取一种暴力破解密钥的方法来做到这一点。不过,这个过程会十分耗时,并且需要一些特定的条件。