IRIS 勒索软件加密数据

在检查新文件样本时，我们的研究团队发现了一款名为 IRIS 的有害软件，该软件源自 Chaos 勒索软件。IRIS 的运作方式是加密文件，然后要求付费才能解密。

在我们的测试环境中，该勒索软件有效地锁定了文件，并在文件名中添加了四个字符的扩展名。例如，原本名为“1.jpg”的文件在加密后将显示为“1.jpg.582m”，而“2.png”将变为“2.png.2n02”，所有受影响的文件都是如此。在加密过程之后，IRIS 修改了桌面壁纸，并留下了名为“read_it.txt”的勒索信。

IRIS 传达的信息解释说，受害者的文件已被加密，要恢复这些文件需要支付 350 美元的赎金，以 XMR（门罗币）支付。此外，该通知还警告说，受害者的敏感数据（例如浏览历史记录和个人身份信息）已被抓取和窃取。因此，格式化设备被认为是无效的解决方案，因为攻击者威胁说，如果不收到付款，他们就会披露被盗内容。

IRIS 勒索信要求 350 美元

IRIS 制作的赎金纸条全文如下：

HACKED BY IRIS!!!!!!!!!!!

Hello!

First off, this is not personal, its just businuss

All of your files have been encrypted!

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.

What happens if i don't pay?

You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.

How do I buy Monero/XMR?

Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.

Payment Type: Monero/Xmr Coin

Amount: $350 USD In Monero/XMR

Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

If you have any questions or issues contact: iriswaresupport@proton.me

HACKED BY IRIS (THE ONE AND ONLY)

勒索软件如何进入您的系统？

勒索软件可以通过各种方式渗透到您的系统，包括：

网络钓鱼电子邮件：一种常见的方法是通过包含附件或链接的恶意电子邮件，点击后会执行勒索软件负载。这些电子邮件通常伪装成来自可信来源的合法通信，诱使用户打开它们。

恶意网站：访问受感染或恶意的网站可能会使您的系统遭受勒索软件攻击。这些网站可能会利用您浏览器或插件中的漏洞在您不知情的情况下下载并执行勒索软件。

恶意广告：恶意广告在用户点击后会传播勒索软件负载。这些广告可能会出现在合法网站上，并利用广告网络中的漏洞来传播恶意软件。

利用漏洞：勒索软件可以利用操作系统或已安装应用程序中未修补的软件漏洞。攻击者可能会使用漏洞工具包（一种旨在自动利用已知漏洞的代码包）来传递勒索软件负载。

远程桌面协议 (RDP) 攻击：攻击者可能会利用远程桌面协议 (RDP) 服务上的弱凭据或默认凭据来未经授权访问您的系统。一旦进入系统，他们就可以部署勒索软件并加密文件。

驱动下载：勒索软件还可以通过驱动下载进行传播，即在访问受感染或恶意网站时自动下载并执行恶意软件。