最新病毒库日期:
  • 威胁预警:勒索软件Locky再现新变种Asasin
2017-10-13 15:09 来源:未知
【文章摘要】本周二,勒索软件Locky带着更具破坏性的新变种Asasin又回来了,使用扩展名.asasin加密文件。

过去几个月,一连串勒索软件攻击(包括WannaCry、NotPetya和LeakerLocke)肆虐全球,致使医院、汽车制造商、电信公司、银行和众多企业网络崩溃,业务和生产遭到严重破坏,而网络犯罪分子却从中牟取巨额利益。事实上,在WannaCry和NotPetya爆发之前,臭名昭著的全盘加密勒索软件Locky去年也在全球掀起波澜。
本周二,勒索软件Locky带着更具破坏性的新变种Asasin又回来了,使用扩展名.asasin加密文件。
目前,此变种正通过垃圾电子邮件进行分发,电子邮件主题类似于  “文件invoice_95649_sign_and_return.pdf已完成”。发件人显示为“RightSignature”,发件地址为“document@rightsignature.com”。
值得庆幸的是,这些分发垃圾邮件的人员似乎不太会正确添加附件,这导致大多数收件人无法正常看到这些附加。许多邮件中的附件都只是显示为下面图片中所示的一组base64编码文本,而没有真实的文件被添加到附件中。
此外,即使在少数邮件中看到了正常的附件,也是一些.7zip或.7z文件,这也导致很多没有安装解压软件的收件人无法打开它们。
当然,值得注意的是,这些.7zip或.7z文件中包含了VBS文件。当VBS文件被执行时,将会从远程站点下载Asasin的可执行文件并执行。
Asasin和之前ykcol之间并没有什么太大的区别。最大的变化是, Asasin在加密文件时,它会修改文件名并追加.asasin扩展,而不是.ykcol。当重命名文件时,它使用格式[first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id]
- [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] -
[12_hexadecimal_chars] .asasin。
这意味着文件名为1.png 的文件在被加密后,其文件名将变更为E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin。
当Asasin完成对计算机文件的加密后,它会删除下载的可执行文件。然后,会显示一个赎金票据,提供有关如何支付赎金的信息。这些赎金票据的名称也已经更改为  asasin.htm和asasin.bmp,赎金金额依旧为25 比特币(约值1.2美元 )。
与ykcol刚被发布出来时一样,短期内都不会有解密. asasin文件的方法。恢复加密文件唯一的方法是通过文件备份,或者是你足够幸运能够通过卷影副本恢复成功。Asasin同样也会试图删除卷影副本,但在极少数情况下,由于某种原因Asasin的这个操作也存在失败的概率。如果你没有可行的文件备份,卷影副本依旧会是你恢复加密文件的最后手段。