最近，一種新的惡意軟件出現(xiàn)在了網(wǎng)絡(luò)上，并且在全世界范圍內(nèi)廣泛傳播。該軟件會(huì)自動(dòng)加密它們訪問到的計(jì)算機(jī)，隨后會(huì)向用戶索要一定數(shù)量的比特幣作為贖金。

[[263856]]

也許是因?yàn)閯偝霈F(xiàn)，我們對這種勒索軟件知之甚少，連樣本都沒有，只知道這個(gè)軟件叫RobbinHood，翻譯過來就是羅賓漢。不過，倒是有很多受害者收到的贖金票據(jù)和加密文件作為佐證，這也使得安全研究人員能夠大概整理出這個(gè)勒索軟件是如何運(yùn)作的。

這個(gè)軟件的特別之處在于，它在不斷的強(qiáng)調(diào)用戶的隱私對他們有多重要，并且表示不會(huì)泄漏任何已付款的用戶信息。

用戶：???

軟件特性

根據(jù)部分受害用戶提供的贖金文本，我們可以得知，RobbinHood背后黑客目的仍然是訪問目標(biāo)所在的網(wǎng)絡(luò)，一旦獲取權(quán)限，他們便會(huì)盡可能的去加密所在網(wǎng)絡(luò)的計(jì)算機(jī)。

雖然我們對其使用的加密方式一無所知，但我們知道，當(dāng)文件被加密時(shí)，這些文件會(huì)被重命名為類似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的樣式。

當(dāng)然，它也會(huì)在不同時(shí)段刪除多個(gè)用戶贖金票據(jù)相關(guān)的文件。這些文件的名稱分別是_Decryption_ReadMe.html，_Decrypt_Files.html，_Help_Help_Help.html和_Help_Important.html。

這些贖金記錄文檔將會(huì)記錄所有有關(guān)受害用戶計(jì)算機(jī)上所發(fā)生的事件，包括贖金金額，以及他們所用的Tor網(wǎng)站鏈接信息等。用戶可以在這些網(wǎng)站上給黑客留言或解鎖3個(gè)不超過10MB的文件。

贖金票據(jù)中所使用的地址是：

• http://xbt4titax4pzza6w.onion/
• https://xbt4titax4pzza6w.onion.pet/
• https://xbt4titax4pzza6w.onion.to/

不同的票據(jù)對應(yīng)不同的金額，具體則是取決于用戶想要解鎖單個(gè)文件還是整個(gè)計(jì)算機(jī)或者是整個(gè)網(wǎng)絡(luò)。

例如，我們看到的贖金票據(jù)所顯示的價(jià)格分別是3個(gè)比特幣和7個(gè)比特幣。并且還帶有額外的注釋，在被加密四天之后若仍未支付，贖金將會(huì)變?yōu)?0000美元。

羅賓漢在關(guān)注你的隱私?

在勒索軟件的支付頁面上，RobbinHood的開發(fā)人員表示，他們一直在關(guān)注用戶的隱私，并且在用戶付款之后會(huì)刪除相應(yīng)的加密密鑰和用戶IP地址。

然而，更有趣的是，他們告知受害者不必費(fèi)力去舉報(bào)他們，因?yàn)樗麄兡壳八幍木车仉[秘且安全。

簡而言之，舉報(bào)了也沒用。

安全專家表示，這次看見勒索軟件給用戶提意見，還聲明他們會(huì)保護(hù)受害者被軟件感染的數(shù)據(jù)。他們還暗示受感染的企業(yè)可以支付贖金并且不會(huì)對外宣傳他們遭受勒索的負(fù)面消息。

很神奇的操作。

羅賓漢的戰(zhàn)利品

目前，被RobbinHood威脅的范圍已覆蓋了美國北卡羅來納州格林維爾市的整個(gè)網(wǎng)絡(luò)。

根據(jù)北卡羅來納州新聞報(bào)道，該城市幾日前被惡意軟件RobbinHood襲擊，在確定損失之后不得不關(guān)閉了整個(gè)城市的網(wǎng)絡(luò)。隨后聯(lián)系了執(zhí)法部門，當(dāng)前多個(gè)機(jī)構(gòu)正聯(lián)合調(diào)查此次襲擊事件。

不幸的是，格林維爾并不是僅有的城市。BleepingComputer和MalwareHunterTeam昨日聯(lián)合發(fā)布了關(guān)于勒索軟件的推文，表示一直在關(guān)注本次事件的受害者。另外，MalwareHunter表示這些受害者都還沒有支付過贖金。

IOCs

關(guān)聯(lián)文件名： 

_Decryption_ReadMe.html  
_Decrypt_Files.html  
_Help_Help_Help.html  
_Help_Important.html 

贖金備注文本：

您的文件怎么了?

您的所有文件都被使用RSA-4096的方式加密了，詳情請?jiān)L問：https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA是現(xiàn)代計(jì)算機(jī)用于加密和解密數(shù)據(jù)的算法，是一種非對稱加密算法。

不對稱意味著有兩個(gè)不同的鍵。因此也被稱為是公鑰加密，因?yàn)槠渲械娜魏我粋€(gè)密鑰都可給別人：

• 我們使用“公鑰”加密您的文件;
• 您可以使用特定的“私鑰”來解密這些文件，您的私鑰就在我們手中。(如果沒有私鑰，則無法恢復(fù)您的文件)

您的數(shù)據(jù)是否還拿的回來?

答案是肯定的。我們有一個(gè)包含所有私鑰的解密工具。只需要按我們說的操作，就可以獲取您的數(shù)據(jù)：

方案1

• 一：您必須為每個(gè)被加密的系統(tǒng)支付3個(gè)比特幣;
• 第二步：回復(fù)我們您想要解鎖的系統(tǒng)的主機(jī)名，隨后等待確認(rèn)并獲得您的解密工具。

方案2

• 一：您必須向我們支付7個(gè)比特幣來解鎖被加密的所有系統(tǒng);
• 第二步：通過留言告訴我們，并等待獲取解密工具。

支付比特幣的地址是：xxxxxxxxxxx

留言地址：http://xbt4titax4pzza6w.onion/xxxx/

備用地址：https://xbt4titax4pzza6w.onion.pet/xxxx/

https://xbt4titax4pzza6w.onion.to/xxxx/

請使用洋蔥瀏覽器訪問網(wǎng)址。

如果您無法訪問鏈接，請按如下步驟操作：

• 一：下載洋蔥瀏覽器：https://www.torproject.org/download/download.html.en;
• 第二步：運(yùn)行瀏覽器并等待鏈接;
• 第三步：訪問我們的網(wǎng)站并留言。

如果在使用瀏覽器的過程中遇到問題，請自行百度“如何使用洋蔥瀏覽器”。

如果您想要確認(rèn)我們是否真的擁有解密工具，您可以在網(wǎng)站上上傳3個(gè)不超過10MB的文件，我們將會(huì)證明一切。

比特幣哪里買?

最簡單的方式是通過LocalBitcoins購買，但您也可以直接搜索“在線購買比特幣”來獲取更多渠道。