|
小编来报:这款恶意软件不仅会破坏电脑上的文件,还会伪装成勒索软件向受害者索要赎金已解锁文件,受害者在支付高昂的赎金后却什么也拿不回来。 据外媒报道,上周,多家德国公司收到了一种含有新型恶意软件链接的网络钓鱼邮件。这种名为GermanWiper的恶意软件是一种伪装成勒索软件的数据清除软件,攻击目标多位于德国境内。
据了解,黑客会先发出一份伪装成求职信的电子邮件,并附上一个含有两份伪装成PDF格式简历的文件。这些PDF文件实际上是一个快捷方式,用以执行PowerShell命令。在该命令被执行后,设备将自动下载并运行HTA文件,并在运行HTA文件时下载GermanWiper。据专家分析,GermanWiper会首先终止数据库和其他软件的相关进程,以便访问文件。接下来,它会扫描系统找出要销毁的文件,再用1和0将其覆盖来达到清除效果。专家表示,该病毒会跳过一些特定文件,以保证受害者可以正常启动Windows操作系统并浏览网页。
为了使其看起来像加密过程一样,每个文件的名称后面都会被添加一个随机的5字符扩展名,例如.08kJA、.AVco3或.Fi2Ed。在删除文件后,GermanWiper还将删除卷影副本(shadow volume copies)并禁止Windows自动重启以防止电脑被修复。据悉,在破坏计算机并删除文件后,GermanWiper会在桌面上留下下一则说明,表明所有文件已被加密,并指示受害者支付价值1600美元的比特币以解锁文件。但专家表示,因为该恶意软件已经将文件摧毁,即使受害者支付赎金也无法将其找回。注:本文由E安全编译报道,转载请注明原文地址
https://www.
|
