PayForRepair 勒索软件给你的文件贴上价格标签
Table of Contents
网络领域的另一种威胁
网络安全研究人员发现了另一种勒索软件正在感染系统中: PayForRepair 。该恶意程序属于著名的Dharma勒索软件家族,其模式既熟悉又危险——加密文件,然后索要赎金才能解密。
PayForRepair 旨在锁定受害者的数据,同时为每个加密文件添加一个唯一可识别的标签。受感染的文件会被重命名,包含受害者特定的 ID、攻击者的电子邮件地址以及“.P4R”扩展名。受害者还会收到勒索信,勒索信会以弹出窗口和名为info.txt的文本文件的形式出现,该文件会被放入每个受感染的文件夹中。
赎金通知的内容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
PayForRepair 想要什么
像 PayForRepair 这样的勒索软件,其目的是通过使用强算法加密个人数据和企业数据,使其无法访问。一旦加密,除非提供唯一的解密密钥(只有攻击者拥有),否则文件将无法打开或使用。PayForRepair 的勒索信会引导受害者通过电子邮件与攻击者协商数据恢复。弹出窗口进一步澄清了情况,指出只有使用比特币付款后才能解密。
攻击者会以“诚意”的名义,允许受害者免费解密最多三个文件,前提是这些文件符合特定条件。这种策略通常用于建立信任并迫使受害者付费。然而,他们也会警告受害者不要使用第三方恢复工具,声称这可能会永久损坏加密文件——这是勒索软件攻击活动中常见的恐吓手段。
为什么基于佛法的攻击难以抵御
作为 Dharma 勒索软件家族的一员,PayForRepair 与其他勒索软件有一些共同点。虽然它会保留关键系统文件(这意味着受害者仍然可以操作其设备),但它会不加区分地攻击本地和网络共享文件。该勒索软件通过终止与打开文件(例如数据库或生产力应用程序使用的进程)相关的进程来提高成功率,从而确保这些文件也能被锁定。
为了控制受感染的系统,基于 Dharma 的恶意软件通常会嵌入到计算机的特定位置,例如%LOCALAPPDATA%目录,并将自身设置为每次计算机重启时启动。它还会删除所有卷影副本(Windows 内置的备份功能),因此受害者无法轻易地将系统回滚到之前的状态。
残酷的现实:付费可能无济于事
不幸的是,一旦PayForRepair锁定了受害者的文件,受害者的恢复几率就变得非常小。攻击者使用的加密方法通常非常强大,如果没有攻击者的解密密钥,恢复文件几乎不可能。即使受害者支付了赎金,也无法保证他们真的会提供解密工具。很多情况下,网络犯罪分子只是收了赎金就消失了。
正因如此,网络安全专家强烈反对支付任何赎金。这样做不仅会为犯罪活动提供资金,还会助长勒索软件即服务 (RaaS) 模式的增长,这种模式会将恶意软件套件出售或出租给其他不法分子,用于大规模攻击。
PayForRepair 如何推广
Dharma 勒索软件变种(包括 PayForRepair)最常见的感染方式是通过薄弱的远程桌面协议 (RDP) 服务。攻击者使用暴力破解技术猜测密码,并进入登录安全性较差的系统。一旦进入系统,他们就能轻松部署勒索软件并禁用防火墙等防御措施。
然而,RDP 并非唯一的攻击载体。其他常见方法包括钓鱼邮件、恶意文件附件、虚假软件更新以及从未经验证的来源下载。勒索软件通常会伪装成看似无害的文档或安装文件。打开后,它会悄无声息地自行安装并开始加密文件。
在某些情况下,勒索软件可以在网络中横向传播,甚至感染USB驱动器等可移动介质。这凸显了除了杀毒软件之外,多层防御措施的必要性。
预防和恢复的最佳做法
由于删除像 PayForRepair 这样的勒索软件并不会解密您的文件,因此预防才是最佳防线。其中最关键的步骤之一是定期将离线备份存储在安全且独立的位置——最好是物理环境和云环境中。这样可以确保即使您受到攻击,也可以在无需支付赎金的情况下恢复数据。
用户在浏览网页或打开未经请求的电子邮件时也应保持谨慎。来自未知来源的附件和链接应始终保持警惕。此外,组织应禁用未使用的 RDP 访问权限,实施强密码策略,并定期更新软件以修补已知漏洞。
不断演变的勒索软件形势
PayForRepair 加入了日益壮大的勒索软件行列,其中包括Jackalock 、 DarkMystic和VerdaCrypt等。每种勒索软件的运作方式和目标略有不同,但都有一个共同的目的:锁定数据并勒索钱财。有些勒索几百美元,有些则高达数百万美元——具体取决于目标用户。
随着威胁的不断演变,我们必须更加了解它们的运作方式以及如何防御它们。虽然PayForRepair只是众多勒索软件中的一个,但它的攻击手段清楚地表明,即使是日常浏览或查看电子邮件,也可能造成严重破坏——除非采取适当的防护措施。
