2019-02-28 15:26:269667人阅读
一个名为B0r0nt0K的新勒索软件正在加密受害者的网站,要求支付20个比特币的赎金,价值约75000美元。众所周知,这种勒索软件会感染Linux服务器,但也可以加密运行Windows系统的用户。
在某论坛帖子中,一名用户表示其客户的网站被新版B0r0nt0K勒索软件加密。此加密网站是在Ubuntu 16.04上运行的,其所有文件都被加密、重命名,并附加了.rontok扩展名。
论坛帖子
由于目前还没有截获该勒索软件的样本,没有太多其他详细信息。根据安全研究员Michael Gillespie的说法,当B0r0nt0K对文件进行加密时,它将以base64编码加密数据,如下所示:
以Base64编码加密文件
此勒索软件通过加密文件名、base64编码、url编码,最后将.rontok扩展名附加到新文件名中。被加密文件名,例如zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok。
虽然受害用户没有提供勒索赎金通知,但他提供了付款网站的网址——https://borontok.uk/。访问此站点时,攻击者要求用户提交其个人ID。
付款网址
输入ID后,用户将看到一个支付页面,其中包含应支付比特币赎金的金额、比特币支付地址(3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC)以及可用于联系开发人员的电子邮箱info@botontok.uk。在本案例中,攻击者要求支付20个比特币的赎金,按目前市场比率,价值约合75000美元。不过,开发商似乎也接收讨价还价。
B0r0nt0K勒索软件付款信息
在检查支付网站的源代码时,研究人员注意到了“Vietnamese Hacker(越南黑客)”的嵌入字节。虽然这可能表明B0r0nt0K勒索软件的开发人员来自越南,但仅以为证据,并不能完全确定。
本文转自mottoin,作者Gump,点击查看原文