伊朗计算机应急响应小组协调中心（Iran CERTCC）在近期发布了关于目前在该国活跃的勒索软件分销活动的安全警报。警报中提到的勒索软件Tyrant由G Data安全研究员Karsten Hahn在上周一（10月16日） 发现。

据Iran CERTCC称，网络犯罪分子通过受欢迎的VPN应用程序——Psiphon VPN的恶意版本进行Tyran的分发，并正在试图敲诈被感染的用户。

受害人被要求在24小时支付相当于15美元的比特币。Tyran被设计为专门针对伊朗，因为目前的赎金票据仅有波斯语版本，而赎金票据中也提及了两个伊朗本地支付服务商exchange.ir和webmoney724.ir。

此外，赎金票据还提供了两种联系方式，电子邮箱地址rastakhiz@protonmail.com和Telegram帐号@Ttyperns。

Bleeping computer创始人兼分析师Lawrence Abrams首次在2017年1月发现了这种DUMB，并在在2017年6月确定了一个针对波兰的DUMB变种。

DUMB起初被认为是一个“笑话”，因为它的第一个变种采用简单的XOR算法加密文件，并将加密密钥保存在被加密文件本身内。另外，第一个变种的编码质量很低，当受害者关闭显示赎金票据的窗口时，它将自动解密。

除了将赎金票据转换为波斯语外，Tyran似乎也并没有在DUMB做出任何其他修改。目前，安全专家MalwareHunter正在调查用于之前DUMB变种的解密方法能否适用于Tyran。

Iran CERTCC 在其安全警报中描述：“Iran CERTCC分析师在Tyran中发现相同的低质量编码。初步分析表明，这是应该是较大攻击的第一个版本或试用版本。因为尽管Tyran执行了加密操作，但有时并不能成功加密受害者文件。而且，尽管Tyran的确成功加密了受害者的系统注册表，但一旦重新启动系统后，这个加密将无法被保持。