Net勒索软件Shrug被发现新变种Shrug2(2018.08.16)

Quick Heal安全实验室最近发现袭击受害者的机器并要求比特币支付70美元的赎金以解密文件的Shrug2勒索软件。Shrug2作为在7月6日首次出现的内嵌虚假软件和游戏应用程序的Shrug的新版本，并携带了新功能Shrug2勒索软件使用.NET框架构建，使用AES256位密钥加密文件，能够加密76种文件格式，并通过感染载体网络钓鱼电子邮件，电子邮件附件，RDP，嵌入式超链接，感染驱动器和网站及下载进行分发。如果受害者机器连接到互联网，那么它就会检查系统是否已经通过检查注册表感染了SHRUG2，如果系统没有被感染，那么它会在HKCU下新建注册表项[ShrugTwo]，然后读取勒索软件感染机器的日期和时间，并根据此显示解密文件所需的时间。Shrug2会删除系统还原点，并且授予对所有目录和子目录执行命令。SHRUG2枚举文件并创建一个[FilesToHarm]列表来加密文件，[FilesToHarm]是要加密的文件列表（仅限于感染机器的C盘），[HarmedFiles]是已经加密过的文件列表（含路径），用于支付赎金后的解密或到时间未支付赎金，则会按图索骥，删除那些被加密的文件。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理

参考资料：

https://blogs.quickheal.com/new-net-ransomware-shrug2/