新型x1881 CryptoMix Ransomware变种放出

  • A+
所属分类:web安全 安全资讯

今天,MalwareHunterTeam发现了CryptoMix ransomware的一个新变体,它将.x1881 扩展名附加到加密的文件名。自从发布了一个新的CryptoMix版本以来,已经有三个星期了,这对于这个ransomware系列来说是相当长的时间。

本文将简要介绍这种新变体的变化。当我们一直在寻找弱点时,如果你是这个变种的受害者,并决定支付赎金,请给我们解密器,以便我们可以看看它。您还可以在我们专用的Cryptomix帮助和支持主题中讨论或接受Cryptomix ransomware感染的支持

x1881 Cryptomix Ransomware变体的变化

虽然加密方法在这个变体中保持不变,但存在一些微小的差异。赎金票据仍然命名为_HELP_INSTRUCTION.TXT,但现在使用x1881@tuta.iox1883@yandex.comx1881@protonmail.comx1884@yandex.com为受害者的电子邮件联系付款信息。

新型x1881 CryptoMix Ransomware变种放出

下一个显着的变化是加密文件附加的扩展名。使用此版本,当文件被ransomware加密时,它将修改文件名,然后将.x1881 扩展名附加到加密文件的名称。例如,由此变体加密的测试文件的加密文件名为0D0A516824060636C21EC8BC280FEA12.x1881。

新型x1881 CryptoMix Ransomware变种放出

此变体还包含11个公共RSA-1024加密密钥,用于加密用于加密受害者文件的AES密钥。这允许ransomware完全脱机工作,无需网络通信。此变体的11个公共RSA密钥与之前的Shark Cryptomix Ransomware版本相同

由于这只是对这个新变体的粗略分析,如果发现其他任何东西,我们一定会更新这篇文章。

如何保护自己免受x1881 CryptoMix Ransomware的伤害

为了保护自己免受CryptoMix的x1881  变体或任何ransomware 的伤害,您必须使用良好的计算习惯和安全软件。首先,您应该始终对数据进行可靠和经过测试的备份,以便在紧急情况下进行恢复,例如ransomware攻击。

您还应该具有包含行为检测(如Emsisoft Anti-Malware  或  Malwarebytes)的安全软件  。无论您使用的安全软件如何,请确保它包含行为检测,以便您不必依赖签名或启发式。

最后,但同样重要的是,请确保您练习以下良好的在线安全习惯,这在很多情况下都是最重要的步骤:

  • 备份,备份,备份!
  • 如果您不知道谁发送了它们,请不要打开附件。
  • 在您确认该人实际发送给他们之前,请勿打开附件,
  • 使用VirusTotal等工具扫描附件。
  • 确保所有的Windows更新一旦出来就安装!还要确保更新所有程序,尤其是Java,Flash和Adobe Reader。较旧的程序包含通常由恶意软件分发者利用的安全漏洞。因此,保持更新是很重要的。
  • 确保使用安装了某种安全软件。
  • 使用硬密码,不要在多个站点重复使用相同的密码。

有关ransomware保护的完整指南,请访问我们的  如何保护和加强计算机对Ransomware  文章。

文件哈希:

SHA256: 8e6d55df373eb3b0d6e4e6d98cfc7a0dcba69a9443aa3b93c789c084604efd19

与x1881 Cryptomix变体关联的文件名

_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

与x1881 CryptoMix变体相关联的注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Admin"="C:\ProgramData\[Random].exe""

x1881 Ransom Note文字

Hello!

Attention! All Your data was encrypted!

For specific informartion, please send us an email with Your ID number:

x1881@tuta.io

x1883@yandex.com

x1881@protonmail.com

x1884@yandex.com

Please send email to all email addresses! We will help You as soon as possible!


DECRYPT-ID-[id] number
</php>

<h3> 与x1881 Ransomware相关的电子邮件:

x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com

执行命令

sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

捆绑的RSA-1024公共密钥

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyagbOaf3s/ePCxre9cs9BwaX3 D40qF7jAzB/xoWktfDlY2PVslZ2reYhQC9dSIvkEtuZqlUUYgFUdaaqTsE7pA8ik 2zXI5Ou7I0YtwWRoFNCl8YlMTRKgDHRQhclPNbtpi2ucm507Unr8EnT2ZzcTOYv1 7ITFgkBdNr4zHLFrpQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDChVnFfbDa3rp1sug7tbE6ba/O RWAwsk6WQ21XHgAXF7dKuEtG/4q7QJyHahQvys2oLkJ4Et2+S4YS3FSYXYqNOq/e 5ahdS19KiuGLnf1u7acnsGvikJgvXiwe/NH2h48ZtK0Uyn1Q1ijVNU66f1pehSmB YQupamnC2XkV9d6Z0wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXbf7u6Pq5kB+O1Cb9GIG9GlVG Mswk342Er1HMiHFXUsVMlljLFTJPz5rdcVB4QAXsOynm67uw8yEAlNC90AHohuIV dGDNVoQuuyNvanI1Ur4cA4aKqpJZKbkVauTpCDdEAse4LSH4NrGTgCao42jiaksj pZvKyFK8yvdoAwd3JQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCetENrtjivjYOthpX2yTlYKJ0x gZ0R367J8tSFikEhVoko4SKRmN9Y1s88iCdeRPUZh2Q0rHOesf/AxONK1buzygXl BkE5X86I3EFUFbPjyOnIgEKFru728aLlwkslqYPIWS29DZUCboHzv1YWU8gtFkwL 5bUEB444se2UXi+pjwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQa9aSkupoA7jxeOhS/mbRvy4u H/hI6XbTsv+ilfj8v9XHBaptsExUvCDG3fXvDKxSLxa6HBXnemM3weUDS0njH9Sb MJjImRjQ+OambwAYaj/hnFM3TYWU4KhPPKWrsxHT1ReSo1i+G2bNxr2gyS2D606N xaN4LNmYw3PLL2omGQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIiEAs1V5JBCLKmDy0Il6rfC4w pQm0s9224Yvxs5pRRic3IQwAJ6wWw0Nrl42LxiA88jggso2EZ05lAl9FIuCNvzCr PO2QOjRLT0w2bYEEneK+rQR9sexZSI90zYVjziI26muOG1M8neAHqWkPvZI1a1sd hG5MwboKBkPYbtXI1wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4ShCcW3W2gmG5HT/Vcrzf4HKi OXAmVWpTRkyqxkw/wU7Ax+A63Fgo5tV4psuxHcJUGYQv4B8+Ag+POHmE4a7Vd4Ra 7tVXBEoyl1ZKF8fFCAAaw6G/ALCL0LEQiTLaqQuIjNXRo7S4Mt/alOM18uMP/kEA mqnGDXEblePIsMUzkQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOXllDk/itDr0oW7hxm01XLeEo pVCg63jWxr5ZEKMU3zmYPtIPGayJbOacU+pPf6t77IMR8ainmJXjAK1c0V07XJv2 UrRsQARYDGEnItYphiYI7t1AgXSPoUi8pvQJrpja3WpuFNmhsWE2lz5uEO7QeejG jSToXALGsvmgvGq5SQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWeBww97UHcRLjztOKvXB0xzRC LcZGov/Y/6x/m8uo42nLkyPgUjrqR7EAzB6bbB6L6aOgCJb2WyffOaNN5df07gIV f1Ea8u/jMIr5uhR+pnFMNB0jQIqqU9/slURM+U7dFvELbli5HL+7Ac/EehJNjLNW bpB5dTPCSSpKFoeoxQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIX+Ay2zjnnViZsCDCk/TS2wZV 85YVVWpAXzsu4wzJzo4Mux2PK5pW0+i6+O1KZLcu+d5xElKM0KgrmE8uY1xylA18 SMBHHhBNhJdYXIaARFNp1uRG+kR8IDgT3sDrSseTt//l2tn8oo5xxw6UHtsBqRwF KP3u+Vspd+gFRsTC5wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxsV6vYenwHV4noHlPuOL/Dc7b dcLDWzJCmCToF5wCnUdkeifop7s6Kuz4nujPWq+6/foz5od8GySTtKiZtoq3lcmI 04RMzKqvo1PkR4RzfXGBLVk6EqeCrueY86l8Gu71oiPois8jJV6VQ96IJuc0HNRb IVKuPQZRttC1CjuZHQIDAQAB
-----END PUBLIC KEY-----

发表评论

您必须才能发表评论!