一個新的勒索軟件家族,名為 Vovalex將通過偽裝成流行的Windows實用程序的盜版軟件(例如CCleaner)進行傳播。
Vovalex勒索軟件具有一項特殊功能,可將其與此類惡意軟件區別開來。 在功能和操作原理方面,Vovalex與其他勒索軟件沒有什麼不同:它對受害者的文件進行加密,然後給她留下贖金記錄。 但是,發現新勒索軟件的研究員Vitaly Kremets揭示了一個有趣的功能。
據專家稱,Vovalex可能是用編程語言D語言編寫的第一個勒索軟件。 根據官方網站上的描述,D(或Dlang)的創建者受到C ++的啟發。 但是,還已知D從其他語言中藉用了許多組件。 通常,網絡犯罪分子不使用Dlang,但在這種情況下,正如Vitaly Kremets建議的那樣,攻擊者最有可能試圖繞過防病毒程序的檢測。
2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tpXMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS— Vitali Kremez (@VK_Intel) January 29, 2021
MalwareHunterTeam團隊是第一個偶然發現Vovalex的人,並且發布了一個示例 VirusTotal上的Vovalex勒索軟件. 來自BleepingComputer的傢伙1對樣本進行分析後得出結論,勒索軟件作為Windows系統CCleaner實用程序的非法副本分發。 在啟動過程中,Vovalex打開 CCleaner安裝程序的合法副本,並將其副本和任意文件名放在%Temp%目錄中。
偽CCleaner安裝程序
之後,該惡意軟件開始通過在受害者計算機上添加.vovalex擴展名來對它們進行加密。 最後一步是將帶有要求的註釋複製到桌面-README.VOVALEX.txt。 攻擊者要求解碼器 0.5 XMR(Monero加密貨幣)。 以美元計,這筆金額約為$ 69.54。
這是Vovalex的摘要:
| 名稱 | Vovalex病毒 |
| 聯絡人 | VovanAndLexus@cock.li |
| 勒索軟件注意事項 | README.VOVALEX.txt |
| 延期 | .vovalex |
| 偵測2 | Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex |
| 病徵 | 您的文件(照片,視頻,文檔)的擴展名為 .vovalex,您無法打開它。 |
| 修復工具 | 查看您的系統是否受到Vovalex病毒的影響 |
User Review
( votes)References
- Vovalex可能是第一個用D編寫的勒索軟件:bleepingcomputer.com
- 威脅百科全書.
