Thanatos是第一款接受比特币的勒索软件, 当Thanatos Ransomware加密文件时,它会将.THANATOS扩展名附加到加密文件的名称 ;据研究人员称,该勒索软件不能保存任何密钥,这意味着即使用户支付赎金,攻击者也不能真正解密每个文件,本次思科发布Thanatos Ransomware解密器,只能解密已知特定类型的文件。

尽管Thanatos从未有过广泛的分布,但是据思科发布的报告称 ,这一勒索软件有一些受害者 。 根据思科的说法,有多个广告系列,版本1.1分布最广。

该版本使用了更高级的赎金说明,并明确显示了勒索软件的名称和版本,如下所示。 该勒索软件的受害者也将对其文件进行加密,并且该文件的名称将附加.THANATOS扩展名。 例如,test.jpg会被加密并命名为test.jpg.THANATOS。

Thanatos是第一款接受比特币现金的勒索软件

当Thanatos Ransomware感染受害者时,它将为每个加密文件使用一个新密钥。 研究人员Francesco Muroni表示,问题在于这些钥匙从未在任何地方得到保存。这意味着即使用户支付赎金,勒索软件开发人员也没有一种方法可以真正解密每个文件。因此,不建议受害者出于任何原因支付Thanatos赎金。 好消息是,可以强制每个文件的加密密钥。 这需要相当长的时间,并且需要该文件是已知通用文件类型。

虽然Thanatos的加密部分乱七八糟,但勒索软件确实引入了一些新功能。 这是接受比特币现金作为赎金支付的第一个勒索软件。

对于那些不熟悉比特币现金的人来说,它是一种从比特币中分离出来的新的加密货币。 当比特币达到区块478,558时,比特币被分成一个名为Bitcoin Cash的新加密货币。 当这个分叉发生时,比特币持有者被赋予相当数量的比特币现金。 例如,如果用户在分叉时有2个比特币,他们也会收到2个比特币现金。

尽管Thanatos接受比特币和Etherum作为赎金,但这是比特币现在首次被接受,如下面的赎金说明所示。

Thanatos Ransomware如何加密计算机

当Thanatos Ransomware加密文件时,它会将.THANATOS扩展名附加到加密文件的名称。例如,名为test.jpg的文件将被加密并重命名为test.jpg.THANATOS。

加密过程完成后,它将连接到iplogger.com/1t3i37 URL以跟踪受感染的受害者数量。

最后,它会生成一个名为“Microsoft Update System Web-Helper”的自动运行密钥,每次用户登录时都会打开README.txt赎回注释。

该赎金说明包含向指定的比特币,以太币或比特币现金地址发送200美元赎金的说明。 然后指示用户联系thanatos1.1@yandex.com以及他们唯一的受害者ID以便接收解密程序。

如前所述,这个勒索软件由于没有保存加密密钥而无法正常解密,因此不应该进行赎金支付。 如果任何人感染了这个勒索软件,只能使用暴力程序破解。

思科发布 Thanatos Ransomware的解密器

思科还表示,Thanatos Ransomware发布了其他版本,其中没有包含任何联系信息,似乎只是简单地销毁受害者的数据。

“在调查攻击者使用的传播机制来感染受害者并消除他们访问系统数据的能力时,我们发现了一个有趣的活动,表明至少在这种特殊情况下,攻击者无意提供任何形式的数据解密给受害者, 该恶意软件似乎已经传递给受害者,作为使用Discord聊天平台发送给受害者的聊天消息的附件。”

由于Thanatos曾经是一个开源项目,有可能其他开发人员使用相同的勒索软件代码库创建自己的版本。

要解密由Thanatos Ransomware加密的文件,您应该 下载Thanatos Decryptor 并将其保存到桌面。 您还需要确保安装了 用于Visual Studio 2017 Microsoft Visual C ++ Redistributable, 否则当您尝试运行解密程序时,您将收到有关缺少DLL的错误。

只要双击可执行文件,解密程序就会开始搜索要解密的文件。 此时,解密器只会解密以下文件类型:

  • Image:.gif,.tif,.tiff,.jpg,.jpeg,.png
  • 视频:.mpg,.mpeg,.mp4,.avi
  • 音频:.wav
  • 文档:.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pdf,.odt,.ods,.odp,.rtf
  • 其他:.zip,.7z,.vmdk,.psd,.lnk

思科还建议解密器在与文件加密相同的机器上运行。 解密过程可能需要一段时间,所以请在解密文件时保持耐心。

github地址:

https://github.com/Cisco-Talos/ThanatosDecryptor

如何从Thanatos Ransomware中保护自己

为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。 首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。

您还应该拥有安全软件,其中包含行为检测来对抗勒索软件,而不仅仅是签名检测或启发式检测。 例如,  Emsisoft反恶意软件  和  Malwarebytes反恶意软件  都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。

最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤:

  • 备份,备份,备份!
  • 如果您不知道是谁发送的,请不要打开附件。
  • 直到您确认该人实际寄给您的附件才开启附件,
  • 使用VirusTotal等工具扫描附件  。
  • 确保所有Windows更新一出来即安装! 另外请确保您更新所有程序,特别是Java,Flash和Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。
  • 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。
  • 使用硬密码并且不要在多个站点重复使用相同的密码