研究人员发现首个勒索软件RobbinHood的样本(2019.4.29)

MalwareHunterTeam研究人员发现了首个勒索软件RobbinHood的样本，通过分析了解更多相关技术细节。RobbinHood首先通过被黑客入侵的远程桌面服务或其它提供攻击者访问权限的木马程序进行分发，执行后，它将通过命令停止181个与杀毒软件、数据库、邮件服务器和其它软件相关的Windows服务，以保持文件打开并防止加密。还使用命令断开了与计算机的所有网络共享，这意味着每台计算机都是单独的目标，没有通过连接共享加密其它计算机。研究人员表示载荷可能通过域控制器或例如Empire PowerShell和PSExec的框架推送到每个单独的机器。然后勒索软件将使用公共RSA加密密钥加密AES密钥和原始文件名，并将其附加到加密文件中。加密成功后，启用的控制台将输出消息。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理