俄罗斯出现了一种名为StalinLocker的新型病毒
majer @ 2018.05.18 , 09:00 上午俄罗斯出现了一种新型电脑病毒,它要求受害者在10分钟内输入解锁代码,并在输入错误时删除硬盘中的存储内容。
据MalwareHunterTeam称,一种名为StalinLocker的新病毒会清除存储在个人计算机上的所有数据。病毒激活后,StalinLocker首先锁定受感染的电脑,屏幕画面被替换成双眼发光的前苏联领导人斯大林,同时运行一个名为“USSR_Anthem.mp3”的音频文件循环播放苏联国歌;受害者拥有大约600秒的时间来输入正确的密钥以挽救所有的数据。
恶意软件也会将其自身复制到与stalin.exe同名的文件夹中。然后它创建一个名为Stalin的自动运行的进程,就是它锁定了屏幕并启动删除过程。
受害人可以紧急切断电源,但是重新开机后,依然要面对桌面上斯大林的激光凝视。此外,病毒创建了%UserProfile% AppData Local fl.dat文件,它的作用是,每次重新启动计算机,你用于输入密钥的时间就会被扣除掉一部分。
它攻击了管理器和桌面进程,只留下Skype或Discord。还创建了一个名为“驱动程序更新”的计划任务,该任务用于开机时启动Stalin.exe。
受感染时,锁定画面下会出现一个10分钟的计时器。受害者将需要输入一组数字。数字是通过当前日期减去日期30/12/1922后计算得出的结果。如果输入了正确的代码,StalinLocker自动终止并卸载。
为了推导出正确的代码,需要获取当前日期(即病毒执行日期)并减去1922.12.30(苏联成立);再将结果换算成天数。 — MalwareHunterTeam (@malwrhunterteam) 14 мая 2018 г.
好像是下面的计算方式,不考虑具体闰年,如果现在是nd=2018.05.20,减去苏联成立的日期n=1922.12.30,nd-n=96年-7个月-10天=__天
如果受害者在倒数到零时未能输入代码,则恶意软件会删除连接到计算机的每个驱动器上的所有文件。
MalwareHunterTeam在接受SC Media UK采访时表示,恶意软件“没有提到金钱要求,也没有进一步的接触,没有任何东西”。他们补充说,恶意软件“不是任何已知的变种”,并且在几天前首次出现。
他们表示,如果用户感染了病毒,“他能做的最好的事情就是关机,并联系可以清理的人”。
ESET的安全专家Mark James告诉SC Media UK,目前这种类型的恶意软件似乎只具有破坏性,似乎除了摧毁数据并获得媒体关注之外别无它用。
“对于普通的终端用户来说,他们既没有时间也没有足够的专业知识找到并输入正确的代码,因此几乎肯定会导致文件清除的结果。他们唯一的保护措施就是寻求一款优秀的多层互联网安全软件,能够检测并删除恶意程序。”他说。
“话虽如此,这种恶意软件的作用还远不止于制造删除个人文件的肆意破坏行为——其使用的内容可能被视为变相攻击或指责某个具体国家。”
AlienVault安全倡导者Javvad Malik告诉SC Media UK,去年rensenWare会锁定机器并强制用户在游戏中获得高分,以解锁自己的文件。
“虽然这类攻击不一定是为了获利,但其影响不亚于此。因此,企业应该认真对待所有这些威胁,并加大安全控制措施投入力度,确保有效预警,以便采取适当的防御手段。”
本文译自 scmagazineuk,由 majer 编辑发布。