citrix远程连接公司电脑 通过黑客远程桌面服务安装的新Matrix
MalwareHunterTeam本周发现了两个新的Matrix Ransomware变体,这些变体 正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。
根据勒索软件执行时显示的调试消息以及BleepingComputer论坛中的各种 报告,这种勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。
两种不同的变体正在分发
目前有两种不同的Matrix版本正在发布。这两种变体都安装在黑客RDP上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。
这些差异如下所述。
变体1:[Files 4463@tuta.io]
这种由[Files4463@tuta.io]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。
|
当文件被加密时,它将加密文件名,然后附加[RestorFile@tutanota.com]扩展名到它。例如,test.jpg会被加密并重命名为0ytN5eEX-RKllfjug。[Files4463@tuta.io]。 |
| 当文件被加密时,它将加密文件名,然后附加[RestorFile@tutanota.com]扩展名到它。例如,test.jpg会被加密并重新命名为0ytN5eEX-RKllfjug [RestorFile@tutanota.com]。 |
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com