Ranscam加密勒索软件仅删除文件，不加密任何内容

加密勒索软件无处不在。加密用户文件然后需要赎金才能解密数据的程序为他们的创建者带来了很多收益。在这类软件中，确实有出色的程序。在许多情况下，此类恶意软件的开发人员会兑现其诺言：如果用户付款，则他会收到解密文件的密钥。但是，情况并非总是如此-有时付款后才没有钥匙。

也有可能不仅有密钥，而且还有文件。 Ranscam是一种恶意软件，只能伪装成加密勒索软件。该软件假装文件是加密的，尽管实际上用户在屏幕上看到的只是带有删除文件列表的命令行。删除文件后，程序将立即显示一个弹出窗口，要求您付款以接收加密密钥。



在出现的信息窗口中，用户会看到一条消息，指出所有文件都已传输到磁盘的隐藏部分并已加密；所有重要程序均被阻止；计算机无法正常工作。还表明，用比特币付款时，所有内容都会恢复原位-用户将收到他的文件。

窗口下方的一个字段是您需要在付款后输入数据的字段。该恶意软件据说必须“验证”受害者的支付数据。也有人说，不付款就按一下按钮会导致所有文件的完全删除。该软件所做的全部工作是执行HTTP GET请求，以接收PNG图像，向用户演示验证过程。实际上，该程序不检查任何内容。

此外，付款无济于事-感染PC后，所有文件都会用加密勒索软件删除。该恶意软件的作者正试图诱骗受害者付款。该软件本身非常简单-不太有经验的攻击者显然可以使用它。

该病毒以可执行.NET文件的形式进入用户计算机。该文件使用由reca [。] Net发行的数字证书签名。证书的颁发日期为2016年7月6日。



当受害者打开文件时，软件将执行多项操作。首先，程序将自身复制到％APPDATA％\，并在启动时注册。另外，它在％TEMP％\中解压缩。





该程序将创建并运行一个可执行文件，该文件可在受害者的系统中找到多个文件夹，并假装“加密”这些文件。实际上，所有内容都会被永久删除。



在这种情况下，该恶意软件充分证明了其名称的合理性，因为它执行了许多其他杀死用户系统的操作：

• 删除所有负责备份数据的Windows文件（系统还原）；
• 删除卷影副本；
• 删除一些负责以安全模式启动系统的注册表项。

完成所有这些操作后，系统将请求JPEG文件以显示一条消息，说明需要为解密文件付费。



完成所有这些操作后，脚本将关闭计算机。每次打开PC时，将执行上述所有步骤。每次恶意软件删除越来越多的新文件并显示一条有关需要付款的消息时，



这是Ranscam从攻击者的服务器运行时下载的文件的列表。他甚至不费心去混淆数据。

研究恶意软件的信息安全专家向该邮件中指定的病毒发送了电子邮件地址。 “受害者”请求病毒创建者的帮助，称她无法正确完成与比特币的交易。请求发出后几乎立即收到了答复。



还有另一个要求帮助的请求：“我对这些事情一无所知。我不知道这意味着什么或要花多少钱，但我想把电脑拿回去。我有很多家人的照片，甚至无法浏览。是否可以在某些地方发送数据，或者可以通过电话号码帮助我？我不知道该怎么做，但是我女儿的计算机没有显示此令人讨厌的消息，我该怎么办？请帮我归还照片，它们很重要！”

请求后几个小时，攻击者发送了答案，并给出了详细的付款指示。此后，该病毒的作者不再继续通信。但是，他提供了与病毒显示的信息窗口中列出的相同的比特币钱包地址。该地址是1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd。研究问题的专家检查了这个钱包的交易，发现转账的总金额已达到277.61美元。没错，这笔钱是在6月20日之前提早存入钱包的。该日期之后没有交易。

到目前为止，该恶意软件还没有传播太多。Ranscam可能是最早的恶意软件之一，其创建者不想做额外的工作，而只想要钱。如果您可以将其伪装成删除文件并需要金钱的常规病毒，为什么还要创建一个复杂的加密勒索软件，花时间和金钱来创建它呢？这个问题是修辞。

Source: https://habr.com/ru/post/zh-CN396123/