新型勒索软件PYSA浅析
什么是勒索软件PYSA
PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,也就是Mespinoza被发现两个月后。最初被加密的文件被Mespinoza使用 .locked作为扩展名,然后转而使用 .pysa作为后缀,目前此勒索软件可能会交替使用PYSA和Mespinoza 这两个名称来命名被加密的文件。
| PYSA与许多已知的勒索软件系列一样,被归类为勒索软件即服务(RaaS)工具。这意味着其开发人员已将这种现成的勒索软件出租给犯罪组织,这些犯罪组织可能在技术上不够精通,无法制作自己的勒索软件。PYSA客户可以根据RaaS提供的选项对其进行自定义,并根据自己的喜好进行部署。PYSA能够在加密要勒索的文件之前从受害者那里窃取数据。 |
|---|
根据某些威胁情 提供方的说法,PYSA/Mespinoza是2级RaaS运营商,因为它在地下赢得了较高声誉。执行此操作的操作员或工作人员有一个页面(称为“泄漏列表”),他们在其中点名并羞辱决定不支付赎金的受害者。受害者与附带的附件一起列出,其中包含威胁行为者从中窃取的文件。
PYSA勒索软件然后从文件的开头开始加密文件的100个相同大小的数据块。为了加密数据块,勒索软件使用AES-CBC加密算法和之前生成的AES-CBC密钥和IV。勒索软件通过以下公式来计来计算用于加密的单个数据块的大小(以字节为单位):
如何防范
我们建议使用如下方式对勒索软件PYSA进行防范:
-
确保及时修补您的系统,以最大程度地降低因漏洞利用而感染勒索软件的风险;
-
使用安全密码,定期修改密码,并在可能的情况下使用多因素身份验证;
-
禁用未使用的RDP服务,正确保护已使用的RDP服务,并定期监控RDP日志数据以防止暴力尝试和其他不规则活动;
-
定期将文件备份到安全的远程位置并实施数据恢复计划。定期数据备份确保您可以在勒索软件攻击后恢复数据;
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!