什么是 Snatch Ransomware 以及怎样删除它

随着防御的提高,犯罪软件开发人员似乎从不睡觉。 他们总是在寻找不同的方式来磨练他们的攻击武器。 最新的技术之一是勒索软件应变,它可以强制 Windows 设备在加密开始之前重新启动到安全模式,旨在绕过端点保护。

由于作者自称为 Snatch Team,这种特殊的菌株被称为 Snatch。 它是 由 Sophos Labs 研究人员发现,他们概述了他们的发现以及对此类团伙怎样闯入其黑名单上的企业和其他实体的见解。

我们将解释什么是 Snatch 勒索软件,它是怎样工作的,以及怎样从设备中删除它。

什么是 Snatch Ransomware

Snatch 是一种全新的勒索软件变体,其可执行文件甚至在加密过程开始之前就强制 Windows 设备重新启动到安全模式,以绕过通常不会在此模式下运行的端点保护。

由 SophosLabs 研究人员和 Sophos Managed Threat Response 团队发现, snatch 勒索软件是多个恶意软件星座组件之一 正在一系列精心策划的攻击中使用,这些攻击具有广泛的数据收集。

勒索软件的新变种使用了一种独特的感染方法,该方法应用了复杂的 AES 加密,因此机器受感染的用户无法访问他们的文件。

Snatch 勒索软件于 2019 年 4 月首次明显活跃,但于 2018 年底发布。然而, 加密文件和赎金票据激增 导致了它的发现并由 Sophos 的研究人员团队跟进。

它的加密病毒形式攻击知名目标,但这种新毒株是使用 谷歌去 程序,包括一系列工具,包括数据窃取器和勒索软件功能。 另外,它有一个 钴罢工 渗透测试人员和系统管理员使用的反向外壳和其他工具。

Snatch Ransomware 怎样工作

作为一种文件锁定病毒,Snatch 勒索软件与其他毒株没有任何联系。 尽管如此,其开发人员还是发布了九种威胁变体,在使用 AES 密码加密数据后附加不同的扩展名。

诀窍是将机器重新启动到安全模式,然后勒索软件通过加密您的文件来限制对您数据的访问。 在那之后,黑客试图通过以比特币的形式索取赎金来向您勒索钱财,以换取解锁您的文件并返回数据访问权限。

Snatch Ransomware 怎样删除作品

他们的伎俩奏效是有原因的。 一些防病毒软件不能在安全模式下启动,开发人员发现他们可以轻松修改 Windows 注册表项,然后将您的机器启动到安全模式。 因此,您的安全软件不会检测到勒索软件的运行。

它第一次安装在您的设备上时,会通过 SuperBackupMan(一项 Windows 服务)进行设置,并在您的计算机开始重新启动之前进行设置,因此您无法及时停止。

Snatch Ransomware 怎样删除 Superbackupman

安装后,攻击者使用 admin 访问运行 Windows 命令行工具 BCDEDIT,以强制您的计算机立即以安全模式重新启动。

然后它会在您的 %AppData% 或 %LocalAppData% 文件夹中创建一个随机命名的可执行文件,该文件夹将被启动并开始扫描您计算机的驱动器号以查找要加密的文件。

Snatch Ransomware 的目标文件

它会加密特定的文件扩展名,包括 .doc、.docx、.pdf、.xls 和许多其他文件,它会感染这些文件并将其扩展名更改为 Snatch,因此您无法再次打开它们。

勒索软件会留下 Readme_Restore_Files.txt 文本文件注释,要求以 1 到 5 个比特币换取解密密钥,并附有有关怎样与黑客沟通以取回数据文件的信息。

Snatch Ransomware 怎样删除消息

在勒索软件完全扫描您的计算机后,它会使用 vssadmin.exe,这是一个 Windows 命令来删除其上的所有卷影副本,因此您无法恢复并使用它们来恢复加密的数据文件。 最后一步是加密硬盘驱动器上的所有数据文件。

目前,由于所使用的 AES 加密的复杂性,受感染的文件无法解密。 但是,如果您的计算机因从最近的备份中恢复文件而受到感染,那么您仍然有救命稻草。

Snatch Ransomware 怎样删除文件人质

Snatch 勒索软件一直通过垃圾邮件攻击普通用户。 但今天,主要目标是企业。 通过向此类犯罪分子付款,您不仅会赔钱,而且无法保证他们会将解密密钥发送给您,而且还会鼓励他们继续从事网络犯罪活动。

如果您没有更新的备份,除了等待安全专家提出 Snatch 勒索软件解密器之外,您别无他法。 这可能需要很长时间,但您可以通过其他方式保护自己免受此类攻击。

怎样从您的计算机中删除 Snatch Ransomware

删除 Snatch 勒索软件和其他恶意软件的最佳方法之一是安装良好的防病毒安全软件,例如 Malwarebytes 或 SpyHunter,它们可以扫描、检测和消除威胁。 并非所有防病毒引擎都能捕获它,因为它是一种全新的恶意软件,因此最好使用多个程序进行扫描。

您可以通过采取简单的步骤来保护自己和您的设备免受勒索软件攻击,例如从可信来源下载软件,并避免打开来自不可信来源的电子邮件附件。

Snatch Ransomware 怎样删除文件类型

保护您自己和您的组织免受 Snatch 和其他类型勒索软件侵害的其他方法包括:

  • 维护更新的操作系统并继续备份您的数据。
  • 执行定期密码审计。
  • 部署多层、全面的安全软件,以保护所有入口点免受勒索软件攻击。
  • 保护远程访问工具和其他易受攻击的程序,因为 Snatch 攻击者雇用其他具有使用 Web shell 经验或能够通过注入攻击侵入 SQL 服务器的犯罪分子。
  • 通过将它们置于网络上的 VPN 之后来保护您的远程桌面界面,这样人们就不会在没有 VPN 凭据的情况下访问它们。
  • 对您家中或组织中的所有设备进行定期和彻底的检查,以确保它们受到保护和监控,因为 Snatch 利用此类接入点和立足点来获得进入。
  • 为您组织中的任何管理员设置和使用多重身份验证,这样攻击者就无法暴力破解您的凭据。
  • 在您的网络上执行完整的威胁搜寻以在感染之前识别任何此类活动。

保护您的系统

Snatch 勒索软件让您的文件和设备瘫痪,这听起来几乎会危及生命。 在您考虑支付赎金之前,请尝试上述步骤来消除威胁,并始终采取预防措施以确保此类威胁不会出现在您的计算机或网络上。

接下来: 如果您怀疑自己的手机感染了勒索软件,请查看我们的下一篇文章,了解怎样检测并删除它。

相关阅读:

Posted in: Windows