研究人員發現首個勒索軟件RobbinHood的樣本

MalwareHunterTeam研究人員發現了首個勒索軟件RobbinHood的樣本，通過分析了解更多相關技術細節。RobbinHood首先通過被黑客入侵的遠程桌面服務或其它提供攻擊者訪問權限的木馬程序進行分發，執行后，它將通過命令停止181個與殺毒軟件、數據庫、郵件服務器和其它軟件相關的Windows服務，以保持文件打開并防止加密。還使用命令斷開了與計算機的所有網絡共享，這意味著每臺計算機都是單獨的目標，沒有通過連接共享加密其它計算機。研究人員表示載荷可能通過域控制器或例如Empire PowerShell和PSExec的框架推送到每個單獨的機器。然后勒索軟件將使用公共RSA加密密鑰加密AES密鑰和原始文件名，并將其附加到加密文件中。加密成功后，啟用的控制臺將輸出消息。

國家計算機病毒應急處理中心建議廣大計算機用戶加強安全防范意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟件實時監控功能，并持續關注我中心網站上關于勒索軟件的有關資訊。

以上資訊由北京安天公司提供，國家計算機病毒應急處理中心研發部編譯整理