研究人员发现了可能是第一个用D语言编写的新勒索软件Vovalex。D语言灵感来源于C++,但共享其他语言的组件。Vovalex勒索软件通过伪造的盗版软件进行分发,其仿冒流行的Windows实用程序,例如CCleaner。由于恶意软件开发人员通常不使用D语言,因此研究人员认为Vovalex使用D语言目的为绕过安全检测。
研究人员分析的Vovalex示例是作为CCleaner Windows程序的warez副本分发的,如下面的捆绑NFO文件所示。
NFO文件,用于CCleaner的假冒文件
执行后,勒索软件将启动合法的CCleaner安装程序,并将其自身复制到%Temp%folder中的随机文件名。
CCleaner安装程序
勒索软件将开始加密驱动器上的文件,并将.vovalex扩展名附加到加密文件的名称中。
Vovalex加密文件
完成后,勒索软件将在桌面上创建一个名为README.VOVALEX.txt的赎金票据,要求提供0.5 XMR(Monero)来检索解密器。按当前价格计算,大约等于69.54美元。
Vovalex赎金票据
值得庆幸的是,Vovalex目前尚未广泛分发。
安恒威胁情报中心:专注于提供威胁数据与分析服务
每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
微信公众号:安恒威胁情报中心