Minecraft(我的世界)是最受欢迎的数字游戏之一,活跃玩家超过 1.4 亿,是日本最畅销的游戏。研究人员发现,Chaos勒索软件团伙正通过游戏论坛上推广的虚假Minecraft alt列表,对Minecraft玩家的文件进行加密,并发送勒索信息。
简况我的世界的玩家在游戏中创建alt(替代)账户,以便在游戏中攻击其他玩家,避免自己的主账户因开挂而被举报。Chaos 勒索软件的变种隐藏在一个伪装成alt账户列表的文件中,该文件是一个可执行文件,但使用一个文本图标来欺骗潜在的受害者,让受害者误以为这个文件是一个包含 Minecraft 泄露的用户名和密码的文本文件。
受害者打开可执行文件后,恶意软件会在受感染机器上搜索小于2,117,152字节的文件并对其进行加密。然后Chaos 勒索软件会附加四个随机字符或数字作为加密文件的扩展名。如果文件大于 2MB,则会向文件中注入随机字节,即使支付赎金也无法恢复。由于攻击的破坏性,支付赎金的受害者只能恢复较小的文件。
攻击发生后,勒索软件还会发出一个名为“ReadMe.txt”的勒索信,与其他勒索软件攻击通常要求的金额相比,Chaos勒索的金额非常少,要求受害者支付 2,000 日元(约合 17.56 美元)。赎金票据仅提供日语版本,表明此 Chaos 勒索软件变体专门针对日本 Windows 用户。赎金记录如下图:
此外,恶意软件还会更改桌面墙纸,给受害者增加支付赎金的压力。勒索软件还会从受感染的机器中删除卷影副本,从而阻止受害者恢复已加密的文件,使其具有双重破坏性。幸运的是,Chaos 勒索软件变种没有任何代码可以从受感染的机器中窃取数据。
总结Chaos勒索软件变种的赎金要求很低,但该恶意软件可以破坏数据并使其无法恢复。遭到勒索软件攻击后,无论是否支付赎金,受害者都可能无法恢复其原始文件。因此避免遭到勒索软件攻击最好的建议是让玩家远离可疑的游戏作弊网站。
PS:每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
关注安恒威胁情报中心
获取一手原创安全分析报告
,