伊朗計算機應急響應小組協(xié)調(diào)中心（Iran CERTCC）在近期發(fā)布了關于目前在該國活躍的勒索軟件分銷活動的安全警報。警報中提到的勒索軟件Tyrant由G Data安全研究員Karsten Hahn在上周一（10月16日） 發(fā)現(xiàn)。

據(jù)Iran CERTCC稱，網(wǎng)絡犯罪分子通過受歡迎的VPN應用程序——Psiphon VPN的惡意版本進行Tyran的分發(fā)，并正在試圖敲詐被感染的用戶。

受害人被要求在24小時支付相當于15美元的比特幣。Tyran被設計為專門針對伊朗，因為目前的贖金票據(jù)僅有波斯語版本，而贖金票據(jù)中也提及了兩個伊朗本地支付服務商exchange.ir和webmoney724.ir。

此外，贖金票據(jù)還提供了兩種聯(lián)系方式，電子郵箱地址rastakhiz@protonmail.com和Telegram帳號@Ttyperns。

Bleeping computer創(chuàng)始人兼分析師Lawrence Abrams首次在2017年1月發(fā)現(xiàn)了這種DUMB，并在在2017年6月確定了一個針對波蘭的DUMB變種。

DUMB起初被認為是一個“笑話”，因為它的第一個變種采用簡單的XOR算法加密文件，并將加密密鑰保存在被加密文件本身內(nèi)。另外，第一個變種的編碼質量很低，當受害者關閉顯示贖金票據(jù)的窗口時，它將自動解密。

除了將贖金票據(jù)轉換為波斯語外，Tyran似乎也并沒有在DUMB做出任何其他修改。目前，安全專家MalwareHunter正在調(diào)查用于之前DUMB變種的解密方法能否適用于Tyran。

Iran CERTCC 在其安全警報中描述：“Iran CERTCC分析師在Tyran中發(fā)現(xiàn)相同的低質量編碼。初步分析表明，這是應該是較大攻擊的第一個版本或試用版本。因為盡管Tyran執(zhí)行了加密操作，但有時并不能成功加密受害者文件。而且，盡管Tyran的確成功加密了受害者的系統(tǒng)注冊表，但一旦重新啟動系統(tǒng)后，這個加密將無法被保持。