新套路？新勒索软件索要礼品卡

一个名为Unnam3d R@nsomware的新勒索软件正在通过电子邮件大量分发，它能够将受害者的文件移动到加密的RAR存档中。完成这一操作后，勒索软件会向受害者索取价值50美元的亚马逊礼品卡兑换码以换取存档密码。

虽然用户表示他们是通过电子邮件才被勒索软件感染的，但并没有提供他们收到的电子邮件样本。因此，对于研究人员来说，分析工作变得更加困难。

1.勒索亚马逊礼品卡

执行时，勒索软件会将绑定的WinRar.exe可执行文件解压缩到%Temp% 文件夹，并执行%Temp%WinRar.exe -m -r -p[password] [directory]命令，以便将指定目录中的文件移至受密码保护的存档中。

在此过程中，勒索软件会将Documents、Pictures和Desktop文件夹下的文件移动到各自的RAR存档中。完成后，勒索软件将显示一个标题为Unnam3d - R@nsomware的窗口，如下所示：

值得注意的是，与以往勒索软件要求以比特币等加密货币支付赎金得方式不同，该窗口提示受害者需要购买价值50美元的亚马逊礼品卡，然后在Discord（一款在游戏玩家中颇受欢迎的即时聊天应用）上联系名为Unname3d的勒索软件开发者。据攻击者称，一旦受害者提供礼品卡兑换码，他们就将提供RAR存档的密码以恢复文件。

勒索通知全文如下：

2.攻击者声称发送3万封电子邮件

为了了解更多关于此勒索软件的信息，以及它是如何被分发的，研究人员甚至在Discord上联系了攻击者，还进行了一番“友好”的交流。

攻击者表示他们在三天前开始了他们的电子邮件钓鱼活动，并将其发送给大约3万人。

钓鱼电子邮件伪装成来自Adobe的电子邮件，提示收件人的Adobe Flash Player已过时且需要更新。殊不知，这些电子邮件中包含指向安装虚假Adobe Flash Player更新的链接，实为勒索软件。

以下是攻击者Unnam3d提供的屏幕截图，显示了正在发送的钓鱼电子邮件。

当研究人员质疑为什么攻击者要使用亚马逊礼品卡这样可被追踪的方式来勒索赎金时，Unnam3d自信得表示他们自己是不会使用礼品卡得，只是将它们转售给其他人。

在调查此攻击者时，研究人员还注意到这一别名（Unnam3d）还与黑帽子、黑客工具相关，包括DDoS工具、VNC黑客工具、剪贴板劫持程序等。Unnam3d也直言不讳得承认的确是他们创建了这些黑客工具。