该威胁称为“Kirk”,配套的解密器称为“Spock”,据悉,这两个名称属于星际迷航系列的两个角色名。Avast恶意软件研究员Jakub Kroustek发现,这一款新的勒索软件变种是用Python编写的,它可能是同类威胁中率先使用Monero(门罗币)作为付款货币的。因为典型的勒索软件通常会要求以比特币或MoneyPak作为付款,以解锁文件。
Monero是一个注重隐私的货币,旨在成为行业中交易方面最私密的货币之一。它使用一种叫做“环签名”的技术,这个技术会把交易复制到多个用户,让他们都显示有效。这样的话,追踪货币的来源就会变得极其困难。比起其它货币,门罗币的一大优势是他们的开发团队(门罗币研究实验室),其中有一位成员是密码专家——这必然能给这个货币带来优点。除此之外,去年夏天,门罗币开始被Alphabay和Oasis所采用,两者都是在线暗网市场。这个消息大大地提升了门罗币的价值。
然而,正如BleepingComputer的Lawrence Abrams所说,Kirk勒索软件可能是第一个使用Monero作为付款货币的威胁。大多数勒索软件会选择比特币作为付款货币,这一变化可能会造成混乱局面。
Abrams表示,
虽然比特币的接受度越来越广,但是想要获取它们并不是容易的事。支付类型中引入这样一个新型的加密货币,受害者只会感到更加困惑,使支付赎金变得更加困难。
Kirk勒索软件的分销渠道目前尚不清楚,但是研究人员已经发现它可以伪装成一款称为“低轨道离子炮(Low Orbital Ion Cannon)”的网络压力测试应用程序。一旦执行,Kirk将生成一个AES密码,用于加密受害者的文件,随后通过嵌入式RSA-4096加密密钥进行加密,并将其保存在名为“pwd”的文件中,该文件与勒索软件可执行文件在相同的目录中。
只有攻击者能够解密该文件并显示加密AES密钥,此外,Kirk勒索软件还建议受害者要确保该文件不被删除。显然,攻击者要求该文件能够为受害者提供所需的解密器。
Kirk勒索软件会显示一个消息框“LOIC(低轨道离子炮)正在为您的系统初始化…”这可能需要一些时间。在后台,Kirk勒索软件会搜索硬盘驱动器中的文件并将其默默地加密。据报告,恶意软件会影响625种不同的文件类型,包括广泛使用的文件类型,例如.mp3、.docx、.zip、.jpeg以及.wma等。该勒索软件会加密它们,并将.kirk的扩展名附加到加密文件的名称中。
该恶意软件会在可执行文件的同一文件夹中放入赎金通知,并将其显示在桌面窗口中。该赎金通知书会指导受害者将价值1100美元的Monero发送到指定地址中。它将每隔几天重复一次,如果在第31天没有付款,解密密钥将被永久删除。付款后,受害人需要将pwd文件和付款交易ID发送到kirk.help@scryptmail.com或kirk.payments@scryptmail.com电子邮件地址上。
据悉,犯罪分子会在付款完成后,将Spock解密器发送给受害者。不幸的是,研究人员还没有计划分析该工具。Abrams表示,
到目前为止,没有任何方法来免费解密,也没有任何人受到这个勒索软件影响的报告。