业界先锋！MalwareHunterTeam再发现两款勒索软件

安全研究团队MalwareHunterTeam上周发现了两款勒索软件：CryptoNar勒索软件和“奥巴马永恒之蓝”勒索病毒。

短命勒索软件CryptoNar，一经发现便遭破解

CryptoNar是CryptoJoker勒索软件的最新变种，在攻击了百余名受害者之后，免费解密器目前已经发布，受害者可以借此免费获取他们的文件。

当CryptoNar加密受害者的文件时，它将根据文件的类型以不同方式执行加密操作：如果目标文件具有.txt或.md扩展名，它将加密整个文件并

将.fully.cryptoNar扩展名附加到文件名上；而所有其他文件只加密前1,024个字节，并将.partially.cryptoNar 扩展名附加到文件名上。

CryptoNar加密的文件

完成文件加密后，它会通过电子邮件向攻击者发送公钥或私钥。

通过SMTP发送密钥

CryptoNar会留下一个名为CRYPTONAR RECOVERY INFORMATION.txt 的赎金票据，要求受害者将价值200美元的比特币发送到随附的比特币地址。在付款时，攻击者指示受害者在比特币交易的“额外注释”字段中输入他们的电子邮件地址和列出的ID。之后攻击者再启动解密器并等待受害者输入他们在支付赎金后获得的私钥。

勒索票据

目前尚不清楚攻击者是否会在收到赎金后帮受害者解密，但是目前已有针对此勒索软件的免费解密器可用了：

要想使用解密器，需要确保同时拥有加密文件和原始对应文件，然后从BleepingComputer.com下载解密器。

运行解密器，选择“Settings”，接着点击“ Brute Forcer”，进入暴力破解程序后，选择一对请求破解的文件，然后单击“ Decrypt”。之后，解密器将使用所选文件强制解密密钥。 找到其中一个文件后，关闭暴力破解界面并加载密钥。单击Select Directory（选择目录），选择C盘：驱动器，点击Decrypt按钮。

操作完成后，用户的所有文件将被解密。

文件解密

“奥巴马”勒索病毒软件，只针对EXE文件进行加密

每隔一段时间，似乎我们就会遇到一些新奇古怪的勒索软件。最近，出现了一款新的勒索软件，只针对计算机中的EXE 文件进行加密勒索操作。在操作成功之后，屏幕上会出现一张前美国总统奥巴马的图片，要求提供解密文件的“提示”。

“奥巴马永恒之蓝”勒索病毒软件

安全研究团队MalwareHunterTeam首先发布推文称，这个勒索软件有一个奇怪的名称——“巴拉克·奥巴马的永恒之蓝勒索病毒”，如下面的文件属性所示：

文件属性

执行后，此勒索软件将终止与卡巴斯基，迈克菲和瑞星杀毒软件等防病毒软件相关的各种进程。终止进程的执行命令为：

然后，它将扫描计算机中的EXE文件，加密文件时，它以所有EXE文件为目标，甚至是Windows文件夹下的EXE文件。过去使用加密可执行文件的其他勒索软件通常会避开Windows文件夹，因此不会导致操作系统正常执行出现问题。

加密的可执行文件

作为加密过程的一部分，此勒索软件还将修改与EXE文件关联的注册表项，以便使用新图标并在每次启动可执行文件时运行病毒。修改后的密钥如下所示：

勒索软件界面中的消息指出，用户通过邮箱2200287831@qq.com与攻击者联系以获取付款说明。

目前尚不清楚这些勒索软件是如何传播的，开发人员是否会在付费后提供解密密匙也不得而知。

奥巴马并不是唯一一位被勒索软件“冠名”的美国总统，2016年美国总统大选之前，特朗普也曾“获此殊荣”。

新版Fox 勒索软件将强行关闭所有文件句柄

新版Fox 勒索软件将强行关闭所有文件句柄