​

E安全3月17日讯，据外媒报道，近日IBM X-Force的安全专家发现了 一款新型勒索软件，将其称为“PXJ Ransomware”。根据目前研究，虽然PXJ执行典型勒索软件的功能，但它似乎没有与大多数已知的勒索软件共享相同的基础代码。

PXJ勒索软件的名称来自其文件扩展名，该勒索软件会附加在加密文件中。同时，该恶意软件也称为XVFXGW软件，这个名称源自于该软件赎金记录中包含的电子邮件地址：

xvfxgw3929@protonmail.com

xvfxgw213@decoymail.com

据悉，专家于2月29日首次发现了该勒索软件，当时有两个病毒样本被上传到VirusTotal平台上。研究人员分析了这两个样本，但只有一个是使用开源可执行打包器UPX打包的。

这款勒索软件与其他勒索软件一样，会从禁用用户系统中恢复已删除的卷影副本文件。随后，该恶意软件开始对受害者的文件进行加密，从而去锁定受害者系统内的照片图像，数据库，文档，视频和其他文件。

专家在研究报告中称，PXJ勒索软件使用AES和RSA算法来对数据进行加密，该技术在其他威胁中也是很常见的。许多勒索软件代码首先使用对称密码AES算法加密文件，因为它的加密速度非常快，有助于在恶意程序快速完成任务。然后黑客会使用保密性更强的非对称密钥RSA密码系统对AES密钥进行加密。

加密过程结束后，勒索软件会将勒索便笺放入文件（“ LOOK.txt”）中，该文件会指引受害者通过电子邮件与攻击者联系，以获取有关支付勒索程序的信息，赎金数额将在前三天过后每天增加一倍。攻击者还威胁称，一周后如果受害者不支付赎金，解密密钥将被破坏，从而无法恢复被加密的文件。

最后，IBM X-Force发布了有关PXJ勒索软件的技术细节，包括危害指标（IoC）。在报告中，专家表示，其中一个样本中的URL包含一种流量检查参数，称为“令牌”，具有Base-64编码值。 鉴于缺少有效负载以及存在多个包含时间戳的GET请求，这可能是某种流量检查；但是，这尚未得到证实，之后专家还会对该软件进行更加深度的研究。