我只接受比特币！新勒索软件“DeathRansom”来袭

近日，一种名为“DeathRansom”的新型勒索软件开始大范围传播，并且指定赎金只接受比特币。

据安全研究人员称，这个勒索软件其实很久以前就开始传播了，但它一开始并没有真正加密受感染计算机上的文件——只需删除它附加的 .wctc 扩展名，文件就会恢复正常。

然而，这种情况在上个月20日发生了变化。 受害者的文件实际上是加密的，DeathRansoms 的数量开始爆炸。

与其他勒索软件一样，DeathRansom 成功感染计算机后免费赚比特币，会首先尝试删除卷影副本。

然后它将加密计算机上的所有文件，但包含如下字符串的文件除外：

此外，新的 DeathRansom 变体不再为加密文件附加扩展名，而是保留其原始名称。

图 1. 加密文件

识别文件是否已被 DeathRansom 加密的唯一方法是查看文件末尾是否标记为“AB EF CD AB”。

图 2. 识别标记

在每个加密文件所在的文件夹中，DeathRansom 会创建一个名为“read_me.txt”的赎金票据，当前的赎金金额设置为 0.1 个比特币。

图 3. 勒索信

安全研究人员表示，目前尚不清楚 DeathRansom 是如何传播的，但很可能是通过捆绑了广告插件的软件安装程序（即从非官方渠道下载的“破解软件”）进行传播。

这是因为许多被 DeathRansom 感染的受感染计算机被发现之前感染了另一种名为“STOP”的勒索软件，这就是 STOP 的传播方式。

另外免费赚比特币，DeathRansom的分析还在进行中，目前还不确定能否找到免费的解密方法。