尽管他们的名字,但罗比情绪网络犯罪分袋并没有从富人偷窃给穷人。相反,这些勒索制造器开发人员更像是大型游戏猎人攻击企业组织和关键基础设施,并为自己保留所有的战利品。

2019年,罗比时机制造商成功攻击并获得了赎金支付马里兰州的巴尔的摩和北卡罗来纳州的格林维尔.他们不是谦逊的人,他们现在在修改的赎金记录中提到了这些成功,并向受害者指出,除了支付赎金,试图恢复他们的文件是没有用的。

赎金并不完全便宜。RobBinhood赎金需求可以从3位比特币,用于一个完整的网络,最多可用于13位比特币,其转化为数万美元。

robbinhood赎金注意
“没有私钥和解锁软件是不可能恢复你的文件的。你可以谷歌:巴尔的摩市,格林维尔市和罗宾汉勒索软件。”

罗宾汉勒索软件是如何运作的

像许多其他勒索软件家族一样,被恶意软件字节检测为必威平台APP赎金。RobbinHood已观察到通过远程桌面协议(RDP)的蛮力或使用提供对攻击者的其他特洛伊木马的蛮力来访问组织网络的访问。

一旦攻击者获得了对系统的足够访问权限,研究人员发现了在某些情况下,他们从Gigabyte引入了一个脆弱的内核驱动程序。此驱动程序由主板制造商签名,并将被Windows接受,因为数字签名。但司机有一个长期存在的弱点,被列为CVE-2018-19320,允许本地攻击者完全控制受影响的系统。

攻击者利用这个漏洞停止181种特定的服务,禁用许多保护程序、备份软件,并删除通常会被锁定的文件。系统服务通常会保留关键文件,因此无法删除或修改它们。能够从内核驱动程序级别停止这些服务,可以更容易地完全控制一个系统。

在实际加密开始之前,罗宾汉还断开所有网络共享,删除所有影子副本,清除事件日志,并禁用Windows自动修复功能。

对于加密进程本身,它从文件中获取公钥pub.key在Windows temp文件夹中。在加密文件时,为每个单独的文件创建一个AES密钥。然后勒索软件将用公共RSA加密密钥加密AES密钥和原始文件名,并将其附加到加密文件中。每个加密文件将使用以下格式重命名:

加密_ [randalstring] .enc_robbinhood

在加密过程中,跳过这些文件夹:

  • programdata.
  • 视窗
  • bootmgr
  • 靴子
  • $ windows。〜bt
  • Windows.old
  • 临时
  • TMP.
  • 程序文件
  • 程序文件(x86)
  • AppData
  • Recycle.bin美元
  • 系统容量信息

在包含加密文件的每个文件夹中都会删除四个不同的ransom ources。大多数音符包含类似于下面的信息:

你的文件怎么了?
你所有的文件都是用RSA-4096加密的,详见https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA是现代计算机用来加密和解密数据的算法。RSA是一种非对称密码算法。不对称意味着有两个不同的键。这也被称为公钥加密,因为其中一个密钥可以给任何人:
1 -我们用我们的“公钥”加密了您的文件
2 -你可以用特定的“私钥”解密加密文件,你的私钥在我们手中(没有我们的私钥是不可能恢复你的文件的)
是否有可能备份您的数据?
是的,我们有你所有私钥的解密器。我们有两个选择来取回你所有的数据。
按照说明取回所有数据:
选项1
第1步:您必须为每个受影响的系统发送3位比特币
第2步:用您想要的系统的主机名通知我们,等待确认并获得您的
选项2
第1步:您必须向所有受影响的系统发送13个比特币
第2步:在面板中通知我们,等待确认并获取所有解密器
我们的比特币地址是:xxx小心,您的支付成本在第四天之后每天增加10,000美元
访问面板(联系我们)面板地址:HXXP:// XBT4TITAX4PZZA6W [。]洋葱/替代地址
hxxps: / / xbt4titax4pzza6w.onion。pet /
hxxps: / / xbt4titax4pzza6w.onion [] /
使用Tor浏览器访问面板
如果无法访问我们的链接,您可以尝试与我们联系的Tor浏览器:
步骤1:从这里下载Tor浏览器:https://www.torproject.org/download/download.html.en
步骤2:运行Tor浏览器并等待连接
第3步:访问我们的网站:面板地址
如果您使用的是使用Tor浏览器的问题,请询问Google:如何使用Tor浏览器
想确保我们有脱泥器吗?
要确保我们有脱模剂,您可以最多可以上传3个文件(总计最大尺寸允许10 MB),并将数据作为演示。
哪里可以买到比特币?
最简单的方法是localbitcoins,但您可以使用谷歌搜索找到更多网站购买比特币:在线购买比特币

解密可能还不够

作为可能考虑支付赎金的人的警告,因为巴尔的摩和格林维尔所做的:简单地解密文件可能不足以在线带回系统。易受攻击的内核驱动程序的引入和更改内核的行为可能导致受影响系统上的其他问题,这可能导致弃用性能或bsod

据报道,从赎金软件攻击的恢复成本为巴尔的摩市超过1000万美元,矮人达克币的有偿赎金(约为80,000美元)。

如何防止罗布诺勒索软件

与所有赎金瓶家庭一样,最好的保护方法是防止感染从一开始就不发生由于robinhood针对的是组织,IT和安全团队应该采取以下常见的预防措施来防止其攻击:

推荐阅读:如何保护您的RDP访问从赎金软件攻击

恶意软件必威平台APP如何防范勒索软件

必威平台APP恶意软件字节可以通过几种方式保护系统免受罗宾汉勒索软件的攻击。

Malw必威平台APParebytes防恶意软件技术使用签名和可义技术的组合检测Windows PC上的恶意文件,浏览器修改和系统修改。这层保护层检测了罗布情吻的自身。当运行二进制时,检测可以实时发生,或者通过进行完整的系统扫描,可以从已经受损的机器中扎根。

实时protevtion.

反赎金软件是一个可义的技术,负责监控终端的特定位置的某个数据的系统的系统活动。使用专利技术,反ransomware评估这些数据文件的变化。如果通过监视过程跨越内部评分阈值,则会触发来自反ransomware组件的检测。

ARW检测
必威平台APPMalwarebytes反赎金软件识别并停止赎金软件行为。

对于那些已经感染的人来说,Ransomware回滚可以帮助在攻击的72小时内恢复加密文件。ROLLBACK在端点上创建本地缓存,以将更改存储到系统上的文件。它可以使用此缓存来帮助恢复由威胁引起的更改。回滚功能取决于可用的活动监控必威平台APP恶意软件端点检测和响应

国际石油公司

文件(SHA256哈希):

  • 791C32A95F401F7464214960E49E716656F6FD6FFF135AC2A6BA607236D3346E
  • 99C3CC348F8EE4E87BCE45B1DD185D31830C370AC43FD3E39AC50340F029EF79
  • e9188ace227b00cbf1f6fba3ceb32af8e4d456c3a0815300a224a9d9e00778a8
  • 47D892DA6A49B02A2904BDC0D03ECEF66C076481D19AB19251D86D11BE494765

赎金指出:

  • _decrypt_files.html.
  • _decryption_readme.html.
  • _Help_Help_Help.html
  • _help_important.html.

扩展加密文件:

.enc_robbinhood

保持安全的人!