黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

作者：

发布时间：2018-04-10

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体，这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密，但其中一种更加先进，可提供更多调试消息并使用密码来擦除可用空间。

根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告，该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限，他们将上传安装程序并执行它。

目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上，加密未映射的网络共享，加密时显示状态窗口，清除卷影副本以及加密文件名。不过，这两个变体之间有一些细微差别，第二个变体（[RestorFile@tutanota.com]）稍微高级一些。这些差异如下所述。

变体 1：[Files 4463@tuta.io]

这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时，它将同时打开以下两个窗口来显示感染的状态。一个窗口是关于加密的状态消息，另一个窗口是关于网络共享扫描的信息。

encrypting-screen

debug

当文件被加密时，它会加密文件名，然后附加[ RestorFile@tutanota.com ]扩展名。例如， test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。

encrypted-folder-1

该变体还会在每个扫描的文件夹中放置命名为！ReadMe_To_Decrypt_Files！.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io，Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。

ransom-note

该变体还将桌面背景更改为以下图像。

background

不幸的是，Matrix Ransomware 的这种变体无法免费解密。

变体 2：[RestorFile@tutanota.com]

第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似，但它有点更先进，因为它具有更好的调试消息，并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。此外，该变体使用不同的联系人电子邮件地址，不同的扩展名和不同的赎金票据名称。
当这个变体正在运行时，它将利用下列窗口显示感染的状态。请注意，与前一个版本相比，此版本中显示的日志记录更多。

matrix

network-scanner

当文件被加密时，它将加密文件名，然后附加[ RestorFile@tutanota.com ]扩展名到它。例如， test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。

此变体还会在每个扫描的文件夹中放置名为＃Decrypt_Files_ReadMe＃.rtf 的赎金备注。该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com，RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。

它还会将桌面背景更改为以下图像。

wallpaper