新勒索软件DynA-Crypt：加密文件并窃取删除数据

   本文讲的是 新勒索软件DynA-Crypt不仅要加密你的文件，而且窃取并删除它们，
 

一个名为DynA-Crypt的新勒索软件被GData公司的恶意软件分析师Karsten Hahn发现，DynA-Crypt不仅能加密你的数据，而且试图从受害者的计算机窃取大量信息。虽然勒索软件和信息窃取感染已经变得越来越普遍，但当你把两者结合到DynA-Crypt中，那攻击的威力似乎变得非常大了。

问题是，这个勒索软件是由许多独立的可执行文件和PowerShell脚本组成，这些组合不但能它加密你的文件，还能窃取你的密码和联系人，同时对你设备中的文件进行删除。

DynA-Crypt在删除你的数据时会窃取大量信息

根据PCrisk的分析，这个程序是由恶意软件创建工具包创建的，允许任何攻击者创建自己的恶意软件。这就为任何人创建恶意攻击工具提供了便利的条件，DynA-Crypt似乎就是这么被大家这么创建出来的。

虽然DynA-Crypt的勒索软件功能具有很大的攻击性，但真正的问题是这个程序会从计算机窃取的数据和信息。当受害者的设备运行时，DynA-Crypt将截取活动桌面，记录系统声音，记录键盘上输入的命令，以及从众多安装的程序中窃取数据。

DynACrypt窃取的项目和数据包括：

屏幕截图的信息Skype的通讯信息Steam游戏平台的信息Chrome浏览器的信息Thunderbird邮件信息Minecraft游戏的信息TeamSpeak 团队语音信息Firefox浏览器的信息录音信息

当DynA-Crypt窃取这些数据时，会将他们复制到一个名为％LocalAppData％\ dyna \ loot \的文件夹中，当DynA-Crypt准备将其发送给开发人员时，它会将信息先全部压缩到一个名为％LocalAppData％\ loot的文件中，然后再发送。

问题是，在DynA-Crypt盗取了你的数据后，不知道是处于什么原因，它会删除了很多它盗窃过数据的文件夹。

不过令人气愤的是，一般的恶意软件窃取你的数据就完了，但DynA-Crypt在得到你数据的同时还会删除了桌面上的所有东西，们甚至不偷取任何东西！

DynA-Crypt的勒索功能部分可以被解密

DynA-Crypt的勒索软件部分由PowerShell脚本驱动，该脚本使用称为AES的独立程序来加密受害者的数据。此脚本将扫描计算机以查找与以下扩展名匹配的文件并对其加密。

.jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png, .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001

当它加密文件时，它会将.crypt扩展名附加到加密文件的名称。这意味着一个名为test.jpg的文件将被加密并重命名为test.jpg.crypt。勒索功能还会删除计算机的卷影副本，以便你无法使用它来恢复文件。

当对DynA-Crypt计算机的文件进行加密时，会显示一个锁定屏幕，要求你支付50美元赎金，不过，DynA-Crypt的勒索功能可以很容易被解密。

   本文作者：xiaohui 
 

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删