新病毒决定了你的电脑是否适合挖掘或勒索软件

勒索软件是一种恶意软件，它会锁定您的计算机，并阻止您访问加密数据，直到您支付赎金以获得解密文件所需的解密密钥，而加密货币矿工则利用受感染系统的CPU能力挖掘数字货币。

勒索软件和基于加密货币挖掘的攻击都是今年迄今为止的最大威胁，它们有许多相似之处，比如都是非复杂的攻击，针对非目标用户进行的金钱攻击，并且涉及数字货币。

然而，由于为了赎金而锁定计算机并不一定能保证在受害者没有任何损失的情况下获得回报，在过去几个月里，网络犯罪分子已经更多地转向欺诈性的加密货币挖掘，作为使用受害者计算机提取金钱的一种方法。

俄罗斯安全公司卡巴斯基实验室（Kaspersky Labs）的研究人员发现了Rakhni勒索软件家族的一个新变种，该家族现已升级，包括加密货币挖掘功能。
Rakhni恶意软件是用Delphi编程语言编写的，它是通过在附件中包含MS word文件的spear网络钓鱼电子邮件传播的，如果打开该附件，会提示受害者保存文档并进行编辑。

该文档包含一个PDF图标，如果单击该图标，会在受害者的计算机上启动一个恶意的可执行文件，并在执行时立即显示一个虚假的错误消息框，诱使受害者认为打开该文档所需的系统文件丢失。

恶意软件如何决定做什么

然而，在后台，该恶意软件会执行许多反VM和反沙箱检查，以确定它是否可以在不被捕获的情况下感染系统。如果满足所有条件，恶意软件将执行更多检查，以确定最终感染有效载荷，即勒索软件或矿工。

1.）安装勒索软件—；如果目标系统在AppData部分中有“比特币”文件夹。

在使用RSA-1024加密算法对文件进行加密之前，该恶意软件会终止与预定义的热门应用程序列表匹配的所有进程，然后通过文本文件显示赎金通知。

2.）安装加密货币矿工—；如果“比特币”文件夹不存在，并且机器有两个以上的逻辑处理器。

如果系统感染了加密货币矿工，它会使用MinerGate实用程序在后台挖掘Monero（XMR）、Monero Original（XMO）和Dashcoin（DSH）加密货币。
除此之外，恶意软件还使用CertMgr。exe实用程序安装假根证书，这些证书声称是由Microsoft Corporation和Adobe Systems Incorporated颁发的，目的是将矿工伪装成受信任的进程。

3.）激活worm组件—；如果没有“比特币”文件夹，只有一个逻辑处理器。

此组件帮助恶意软件使用共享资源将自身复制到位于本地网络中的所有计算机。

研究人员指出：“对于文件中列出的每台计算机，特洛伊木马会检查文件夹用户是否共享，如果共享，恶意软件会将自己复制到每个可访问用户的文件夹\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup中。”。

无论选择哪种感染，恶意软件都会检查是否启动了列出的防病毒程序之一。如果在系统中找不到AV进程，恶意软件将运行多个cmd命令，试图禁用Windows Defender。

另外？还有一个间谍软件功能

“另一个有趣的事实是，该恶意软件还具有一些间谍软件功能–；其消息包括一个正在运行的进程列表和一个带有屏幕截图的附件，”研究人员说。

这种恶意软件变种主要针对俄罗斯（95.5%）的用户，而哈萨克斯坦（1.36%）、乌克兰（0.57%）、德国（0.49%）和印度（0.41%）也发现了少量感染。

首先，防止自己成为此类攻击的受害者的最佳方法是永远不要打开电子邮件中提供的可疑文件和链接。此外，始终保持良好的备份程序和更新的防病毒软件。