最近，一種新的惡意軟件出現在了網絡上，并且在全世界范圍內廣泛傳播。該軟件會自動加密它們訪問到的計算機，隨后會向用戶索要一定數量的比特幣作為贖金。

[[263856]]

也許是因為剛出現，我們對這種勒索軟件知之甚少，連樣本都沒有，只知道這個軟件叫RobbinHood，翻譯過來就是羅賓漢。不過，倒是有很多受害者收到的贖金票據和加密文件作為佐證，這也使得安全研究人員能夠大概整理出這個勒索軟件是如何運作的。

這個軟件的特別之處在于，它在不斷的強調用戶的隱私對他們有多重要，并且表示不會泄漏任何已付款的用戶信息。

用戶：???

軟件特性

根據部分受害用戶提供的贖金文本，我們可以得知，RobbinHood背后黑客目的仍然是訪問目標所在的網絡，一旦獲取權限，他們便會盡可能的去加密所在網絡的計算機。

雖然我們對其使用的加密方式一無所知，但我們知道，當文件被加密時，這些文件會被重命名為類似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的樣式。

當然，它也會在不同時段刪除多個用戶贖金票據相關的文件。這些文件的名稱分別是_Decryption_ReadMe.html，_Decrypt_Files.html，_Help_Help_Help.html和_Help_Important.html。

這些贖金記錄文檔將會記錄所有有關受害用戶計算機上所發生的事件，包括贖金金額，以及他們所用的Tor網站鏈接信息等。用戶可以在這些網站上給黑客留言或解鎖3個不超過10MB的文件。

贖金票據中所使用的地址是：

• http://xbt4titax4pzza6w.onion/
• https://xbt4titax4pzza6w.onion.pet/
• https://xbt4titax4pzza6w.onion.to/

不同的票據對應不同的金額，具體則是取決于用戶想要解鎖單個文件還是整個計算機或者是整個網絡。

例如，我們看到的贖金票據所顯示的價格分別是3個比特幣和7個比特幣。并且還帶有額外的注釋，在被加密四天之后若仍未支付，贖金將會變為10000美元。

羅賓漢在關注你的隱私?

在勒索軟件的支付頁面上，RobbinHood的開發人員表示，他們一直在關注用戶的隱私，并且在用戶付款之后會刪除相應的加密密鑰和用戶IP地址。

然而，更有趣的是，他們告知受害者不必費力去舉報他們，因為他們目前所處的境地隱秘且安全。

簡而言之，舉報了也沒用。

安全專家表示，這次看見勒索軟件給用戶提意見，還聲明他們會保護受害者被軟件感染的數據。他們還暗示受感染的企業可以支付贖金并且不會對外宣傳他們遭受勒索的負面消息。

很神奇的操作。

羅賓漢的戰利品

目前，被RobbinHood威脅的范圍已覆蓋了美國北卡羅來納州格林維爾市的整個網絡。

根據北卡羅來納州新聞報道，該城市幾日前被惡意軟件RobbinHood襲擊，在確定損失之后不得不關閉了整個城市的網絡。隨后聯系了執法部門，當前多個機構正聯合調查此次襲擊事件。

不幸的是，格林維爾并不是僅有的城市。BleepingComputer和MalwareHunterTeam昨日聯合發布了關于勒索軟件的推文，表示一直在關注本次事件的受害者。另外，MalwareHunter表示這些受害者都還沒有支付過贖金。

IOCs

關聯文件名： 

_Decryption_ReadMe.html  
_Decrypt_Files.html  
_Help_Help_Help.html  
_Help_Important.html 

贖金備注文本：

您的文件怎么了?

您的所有文件都被使用RSA-4096的方式加密了，詳情請訪問：https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA是現代計算機用于加密和解密數據的算法，是一種非對稱加密算法。

不對稱意味著有兩個不同的鍵。因此也被稱為是公鑰加密，因為其中的任何一個密鑰都可給別人：

• 我們使用“公鑰”加密您的文件;
• 您可以使用特定的“私鑰”來解密這些文件，您的私鑰就在我們手中。(如果沒有私鑰，則無法恢復您的文件)

您的數據是否還拿的回來?

答案是肯定的。我們有一個包含所有私鑰的解密工具。只需要按我們說的操作，就可以獲取您的數據：

方案1

• 一：您必須為每個被加密的系統支付3個比特幣;
• 第二步：回復我們您想要解鎖的系統的主機名，隨后等待確認并獲得您的解密工具。

方案2

• 一：您必須向我們支付7個比特幣來解鎖被加密的所有系統;
• 第二步：通過留言告訴我們，并等待獲取解密工具。

支付比特幣的地址是：xxxxxxxxxxx

留言地址：http://xbt4titax4pzza6w.onion/xxxx/

備用地址：https://xbt4titax4pzza6w.onion.pet/xxxx/

https://xbt4titax4pzza6w.onion.to/xxxx/

請使用洋蔥瀏覽器訪問網址。

如果您無法訪問鏈接，請按如下步驟操作：

• 一：下載洋蔥瀏覽器：https://www.torproject.org/download/download.html.en;
• 第二步：運行瀏覽器并等待鏈接;
• 第三步：訪問我們的網站并留言。

如果在使用瀏覽器的過程中遇到問題，請自行百度“如何使用洋蔥瀏覽器”。

如果您想要確認我們是否真的擁有解密工具，您可以在網站上上傳3個不超過10MB的文件，我們將會證明一切。

比特幣哪里買?

最簡單的方式是通過LocalBitcoins購買，但您也可以直接搜索“在線購買比特幣”來獲取更多渠道。