导语:Michael Gillespie最先发现该病毒,Princess Locker通过将受害者的数据进行加密,然后要求受害者支付总额3比特币的巨额赎金来换取解密密码。

今天,我们给大家带来一款估计只有皇室才喜爱的勒索软件,Princess Locker。Michael Gillespie最先发现该病毒,Princess Locker通过将受害者的数据进行加密,然后要求受害者支付总额3比特币(约1800美元)的巨额赎金来换取解密密码。若受害者没在规定时间内付款,则赎金将被提高到6比特币。

攻击详情

除了看到一些加密文档和勒索信被上传到ID-Ransomware,其实还没有多少人知道Princess Locker。据调查发现,当有人的电脑被感染,该软件就会对受害者的文档进行加密,然后再对加密的文档附上随机扩展名,同时生成一个独一无二的ID账号。而后,这个新的ID账号,扩展名和加密的数据会被发送到该勒索软件的指挥控制服务器(C&C服务器)。

与此同时会生成勒索信并显示:!_HOW_TO_RESTORE_[extension].TXT 和!_HOW_TO_RESTORE_[extension].html,如下为该勒索信,它的内容包含了受害人的ID账号以及TOR支付网站的链接,受害人可以登录该网站查看付款信息。

Princess Locker支付网站与其它标准的勒索网站一样,当受害者访问该网站,会弹出一个页面供他们选择语言,该页面看起来与另一款勒索软件Cerber的语言选择页面没什么两样,如下截图为语言选择页面。

受害者将看到一个登录提示,需要他们输入勒索信上提供的受害人ID账号。登录后,他们将看到主要的支付网站,其中包含的信息如赎金数额、比特币发送地址和一些常见问题的回答,如下截图为Princess Locker支付网站页面。

该网站还能够免费解密一份文件。不幸的是,我们手上没有一份该软件的样本,我们不想浪费受害者的免费解密机会,而且也不清楚这个特别功能是否真的能用,如下截图为免费解密文档页面。

该网站少了的一项内容是提供给受害者联系该恶意软件开发者的页面。如果该勒索软件进一步扩散,我对此也不会感到惊讶。同时,我们也正在寻找该病毒的样本。

源链接

Hacking more

...