一种新的恶意勒索软件出现了,名字叫做JIGSAW,它的特征是在你犹豫是否支付赎金时就已经开始慢慢删除你的文件。

Bitcoin Blackmailer.exe解释了JIGSAW勒索软件是通过添加'.FUN'扩展来加密你的文件。

作者使用了 Saw-movie风格,借用了恐怖电影人物木偶比利的脸来威胁目标,如果在限定期限之内没有缴纳赎金就要删除他的文件。

感染了JIGSAW的机器行为

Forcepoint实验室的安全工程师能够对恶意软件进行了逆向工程,并使用JIGSAW中的加密秘钥来解密文件和100个Bitcoin地址。

 恐怖电影图像的使用给受害人带来了困扰,它是恶意软件的作者的新战术,试图混淆.NET代码以防止被他人分析。幸运的是,事实上解析源代码对于专家们来说很容易,他们可以对JIGSAW勒索软件进行深入分析。该恶意软件的代码事实上写的很糟糕,入门级恶意软件分析人员都能很容易的对它进行逆向,因为作者没能从可执行文件中提取出文本。

Forcepoint安全实验室发布的分析中提到:“写在.NET中的恶意软件可以被逆向工程,过程中没有任何困难 。这可以极大地帮助我们。正因为如此,Forcepoint安全实验室能够检索出所使用的恶意软件以及对文件进行加密的加密密钥(用黄色高亮显示) 。“

专家们分析了一些JIGSAW勒索软件的最新变种,他们记录了一些属性,其中包括它们的大小,时间戳(制作日期/时间),并且使用ExifTool从图像中提取出元数据。

专家们还发现了恶意软件作者的主页,还有JIGSAW恶意软件工具包在一个Tor市场以139美元的价格出售 。买家将获得件用C#编写的JIGSAW源代码,以及关于使用步骤的教程 。从2016年4月3日到现在该恶意软件已经售出24次了。

专家所分析的恶意软件样本中给出了用于支付勒索的两个不同的比特币地址。其中一个比特币地址从未收到任何赎金支付,而第二个地址显示共收到过89 美元的比特币。

恶意软件的作者还提供了一个关于如何配置和构建该恶意软件的详细教程。

我建议大家看看由Forcepoint实验室发表的报告(链接点这里)。