近日新勒索病毒出现 扩展名邮箱+数字字母 属于Buran勒索病毒家族  每个文件夹留有how_to_decrypt.hta 内容如下

Buran勒索病毒解密 how_to_decrypt.hta recovery.helper@aol_recovery.helper@aol

文件加密后的外观如下

Buran勒索病毒解密 how_to_decrypt.hta recovery.helper@aol_how_to_decrypt.hta_02

被加密的后的文件分析如下, 这个病毒不只是加密文件头128个块,中间也会每个100MB 加密128个块。加密程度比.Globeimposter-Alpha666病毒要多。 直接修复被加密的BAK或者MDF会丢失较多数据,需要其他辅助方法 恢复完整度可达99-100%。

Buran勒索病毒解密 how_to_decrypt.hta recovery.helper@aol_recovery.helper@aol_03

                                                                                                                       有数十种勒索软件感染与Buran有相似之处。示例列表包括(但不限于)  Luboversova148,  Davda,  Dodger和 Stone。这些感染是由不同的网络罪犯发展而成的,但是,它们的行为实际上是相同的-全部加密数据并提出赎金要求。唯一的主要区别是赎金的大小和所使用的加密算法的类型。不幸的是,勒索软件感染经常使用RSA,AES和其他生成唯一解密密钥的密码。在这种情况下,除非病毒仍在开发中或具有某些错误/缺陷,否则在没有开发人员参与的情况下进行手动解密(不推荐)是不可能的。诸如Buran之类的勒索软件提供了维护常规备份的有力理由,但是,由于本地存储的备份与常规数据一起被加密,因此将其存储在远程服务器或未插拔的存储设备上。此外,我们建议您将多个备份副本存储在不同的位置,

勒索软件如何感染我的计算机?

如上所述,Buran使用Rig Exploit Kit进行了扩散,但是,这些勒索软件感染也经常通过垃圾邮件活动,第三方软件下载源,假冒软件更新程序/破解程序和特洛伊木马来传播。犯罪分子利用垃圾邮件运动发送包含恶意附件(链接和/或文件)的成千上万的欺骗性电子邮件,以及鼓励收件人打开它们的欺骗性消息。犯罪分子通常将这些附件作为重要文件显示,例如收据,发票,票据等。这些尝试给人以合法性的印象,并增加了诱骗收件人打开文件的机会。非官方下载源(对等[P2P]网络,免费文件托管网站,免费软件下载网站等)也以类似方式使用。犯罪分子通过将恶意可执行文件显示为合法软件,从而利用这些来源扩散恶意软件。这样,用户就被诱骗了手动下载/安装恶意软件的过程。伪造的软件更新程序通常通过利用旧的软件错误/缺陷或仅下载并安装恶意软件而不是更新来感染计算机。伪造的“裂缝”也是如此。这些工具不是启用付费功能,而是将恶意软件注入系统。木马是恶意应用程序,它们会潜入计算机中以下载/安装其他恶意软件。伪造的软件更新程序通常通过利用旧的软件错误/缺陷或仅下载并安装恶意软件而不是更新来感染计算机。伪造的“裂缝”也是如此。这些工具不是启用付费功能,而是将恶意软件注入系统。木马是恶意应用程序,它们会潜入计算机中以下载/安装其他恶意软件。伪造的软件更新程序通常通过利用旧的软件错误/缺陷或仅下载和安装恶意软件而不是更新来感染计算机。伪造的“裂缝”也是如此。这些工具不是启用付费功能,而是将恶意软件注入系统。木马是恶意应用程序,它们会潜入计算机中以下载/安装其他恶意软件。

威胁摘要:

名称 布兰病毒

威胁类型 勒索软件,加密病毒,文件柜

加密文件扩展名 受害者的唯一ID。

索要赎金 how_to_decrypt.hta

网络犯罪联系 bhatmaker @ protonmail.com,bhatmaker @ tutanota.com,buratin @ torbox3uiot6wchz.onion(仅可从tor访问),buratino2 @ tutanota.com,buratino @ firemail.cc,daten @ airmail.cc,daten @ cock.li,decryptor @ cock.email,harveyjq9freemannl1 @ gmail.com,polssh1 @ protonmail.com,polssh @ protonmail.com,sofiasqhwells0gw @ gmail.com,stopcrypt @ cock.email,ticketbit @ mailfence.com,ticketbit @ tutanota.com,巧巧的celebr @ protonmail。 com

检测名称 Avast(FileRepMalware),DrWeb(Trojan.Encoder.28441),ESET-NOD32(Generik.EJUVIDP的变体),卡巴斯基(UDS:DangerousObject.Multi.Generic),完整检测列表(VirusTotal)

症状 无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。

附加信息 犯罪分子使用Rig Exploit Kit扩散了这种勒索软件 。

感染方式 受感染的电子邮件附件(宏),BT种子网站,恶意广告