PayForRepair 勒索軟體為你的檔案貼上價格標籤
Table of Contents
網路領域的另一種威脅
網路安全研究人員發現了另一種透過受感染系統傳播的勒索軟體: PayForRepair 。這個惡意程式屬於著名的Dharma 勒索軟體家族,遵循熟悉但危險的模式——加密檔案並要求支付贖金以換取解密。
PayForRepair 旨在鎖定受害者的數據,同時為每個加密檔案應用唯一可識別的標籤。受感染的檔案被重新命名為包含受害者特定的 ID、攻擊者的電子郵件地址和副檔名「.P4R」。受害者還會收到以彈出視窗和名為info.txt的文字檔案形式出現的勒索信,該檔案被放入每個受影響的資料夾中。
贖金通知的內容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
PayForRepair 想要什麼
像 PayForRepair 這樣的勒索軟體透過使用強演算法加密來使個人和商業資料無法存取。一旦加密,除非提供唯一的解密金鑰(只有攻擊者才擁有),否則檔案無法開啟或使用。 PayForRepair 的贖金通知指示受害者向攻擊者發送電子郵件以協商資料復原。彈出視窗進一步澄清了情況,指出只有在使用比特幣付款後才會提供解密。
攻擊者以「誠意」的名義允許受害者免費解密最多三個文件,前提是這些文件符合特定標準。這種策略通常用於建立信任並迫使受害者付款。然而,他們也警告受害者不要使用第三方復原工具,聲稱這可能會永久損壞加密檔案——這是勒索軟體活動典型的恐嚇策略。
為什麼基於佛法的攻擊難以抵禦
作為 Dharma 勒索軟體家族的一員,PayForRepair 與其同類勒索軟體具有一些共同特徵。雖然它會保留關鍵的系統檔案(這意味著受害者仍然可以操作他們的裝置),但它會不加區分地攻擊本地和網路共享的檔案。勒索軟體透過終止與開啟檔案相關的進程(例如資料庫或生產力應用程式使用的進程)來提高其成功率,確保這些檔案也可以被鎖定。
為了控制受感染的系統,基於 Dharma 的惡意軟體通常會將自身嵌入到機器上的特定位置,例如%LOCALAPPDATA%目錄,並將自身設定為在每次重新啟動電腦時啟動。它還會刪除任何卷影副本(Windows 內建備份功能),因此受害者無法簡單地將他們的系統回滾到先前的狀態。
殘酷的現實:付費可能無濟於事
不幸的是,一旦 PayForRepair 鎖定了受害者的文件,受害者的處境就非常不利了。所使用的加密方法通常非常強大,如果沒有攻擊者的解密金鑰,恢復幾乎是不可能的。即使受害者確實支付了贖金,也不能保證確實會提供解密工具。在許多情況下,網路犯罪分子只會收取款項然後消失。
這就是為什麼網路安全專家強烈反對支付任何贖金。這樣做不僅為犯罪活動提供資金,而且還助長了勒索軟體即服務 (RaaS) 模式的增長,在這種模式中,惡意軟體套件被出售或出租給其他不法分子,以進行大規模攻擊。
PayForRepair 如何推廣
Dharma 勒索軟體變種(包括 PayForRepair)最常見的感染方法是透過弱的遠端桌面協定 (RDP) 服務。攻擊者使用暴力破解技術來猜測密碼並存取登入安全性較差的系統。一旦進入系統,他們就可以輕鬆部署勒索軟體並停用防火牆等防禦措施。
然而,RDP 並不是唯一的載體。其他常見方法包括網路釣魚電子郵件、惡意檔案附件、虛假軟體更新以及從未經驗證的來源下載。勒索軟體通常會偽裝成看似無害的文件或安裝文件。打開後,它會自行靜默安裝並開始加密檔案。
在某些情況下,勒索軟體可以透過網路橫向傳播,甚至感染 USB 隨身碟等可移動媒體。這凸顯了超越防毒軟體的多層防禦的必要性。
預防和恢復的最佳做法
因為刪除像 PayForRepair 這樣的勒索軟體不會解密您的文件,所以預防是最好的防線。最關鍵的步驟之一是維護儲存在安全且獨立位置的定期離線備份 - 最好是在實體和雲端環境中。這確保即使您受到攻擊,也可以恢復資料而無需支付贖金。
用戶在網路上瀏覽或開啟未經請求的電子郵件時也要小心謹慎。應始終對來自未知來源的附件和連結保持懷疑態度。此外,組織應停用未使用的 RDP 訪問,實施強密碼策略,並定期更新軟體以修補已知漏洞。
不斷演變的勒索軟體情勢
PayForRepair 加入了不斷增長的勒索軟體名單,其中包括Jackalock 、 DarkMystic和VerdaCrypt等。每種犯罪行為的運作方法和目標略有不同,但都有一個共同的目的:鎖定數據和勒索金錢。有的要價幾百美元;其他的,則有數百萬——取決於目標。
隨著威脅不斷演變,我們必須不斷了解威脅的運作方式和防禦方法。儘管 PayForRepair 只是眾多勒索軟體中的一個名字,但它的方法清楚地提醒我們,即使是日常瀏覽或電子郵件檢查也可能造成嚴重破壞 - 除非採取適當的保護措施。
