最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 对出现的两个新的勒索软件变体——AlumniLocker和Humble的分析

    趋势科技的研究人员最近发现了两个新的勒索软件变体——AlumniLocker和Humble,它们表现出不同的复杂行为和加密后的勒索技术。

    其中一种勒索手段包括支付异常高昂的赎金,并威胁要公布受害者的关键数据。这些新的恶意功能迭代证明,2021年以勒索为目标的勒索软件仍然存在,而且还很盛行占据网络攻击的主流。

    AlumniLocker勒索软件分析

    研究人员最近发现了AlumniLocker勒索软件,,它是Thanos勒索软件家族的一个变体,它会要求受害者支付10个比特币的赎金,截至发稿时10个比特币的价格相当于457382.60美元。这些勒索软件的使用者还威胁说,如果他们不在48小时内付款,就会在他们的网站上公布受害者的数据。

    AlumniLocker通过恶意的PDF邮件附件被传播开来,如下所示根据研究人员的调查,那份PDF文件是一张伪造的发票,催促受害者下载。

    恶意PDF文件的截图

    该恶意PDF文件包含一个链接(hxxps://femto[.]pw/cyp5),一旦点击,将下载一个包含下载器的ZIP文件。

    下载器内容

    ZIP文件还包含一个伪造的JPG文件,该文件实际上是一个PowerShell脚本,它将通过滥用后台智能服务传输(BITS)模块下载和执行AlumniLocker有效载荷。

    包含滥用BITS模块的PowerShell脚本的伪造JPG文件

    AlumniLocker勒索软件文件是一个MSIL (Themida-packed Microsoft Intermediate Language)可执行文件。它将.alumni附加到加密文件中:

    受害者的加密文件的截图

    一旦AlumniLocker对受害者的文件进行加密,便会通过记事本显示一个文本文件,其中详细说明了攻击者所要求的赎金以及如何支付赎金的说明。如果赎金金额未在规定的期限内支付,勒索软件的使用者就会威胁要在他们的网站上公布受害者的个人文件,而截至发稿时,该网站是无法访问的。

    AlumniLocker勒索信

    Humble勒索软件变体分析

    研究人员在2021年2月发现了Humble勒索软件,这个不太典型的勒索软件家族是用可执行的包装程序(Bat2Exe)编译的。研究人员现在发现了两种Humble勒索软件变体,两种变体都具有勒索技术,可促使受害者迅速支付赎金。一个变体威胁受害者,一旦他们重启系统,主启动记录(MBR)将被重写;另一种变体也发出同样的威胁,如果受害者在五天内不支付赎金,MBR将被重写。

    主要可执行文件是批处理文件本身,这可能不常见,但不是新文件。该勒索软件之所以与众不同,是因为它利用了通信平台Discord提供的公共Webhook服务向其报告或向受害者传播感染报告。

    Humble勒索软件拒绝explorer.exe查看或访问本地存储驱动器。

    受感染计算机的屏幕截图,显示除了可移动驱动器外,无法通过explorer.exe访问其他任何驱动器

    Humble勒索软件阻止explorer.exe访问本地存储驱动器

    研究人员分析的第一个Humble勒索软件变体删除了%temp%\\{temp directory}\\extd.exe组件,该组件通常用于加密和Web API二进制文件,以帮助进行文件加密。

    该恶意软件利用certutil.exe(一种管理Windows证书的程序)从随机输入生成密钥,然后extd.exe组件将使用它来加密文件。

    Humble勒索软件使用CertUtil从随机输入中生成密钥

    Humble勒索软件会加密104种文件类型,包括具有以下扩展名的文件:.exe,.pdf,.mp3,.jpeg,.cc,.java和.sys。

    成功加密目标设备后,恶意软件会通过自定义的AutoIt编译的Discord Webhook二进制文件将报告发送到勒索软件操作员的Discord Webhook面板。

    使用Discord webhook面板生成的报告,用于通知Humble勒索软件操作员新的成功感染和加密

    该恶意软件将生成一个随机字符串,然后将其用于附加受感染的文件。该恶意软件还会显示一个赎金记录,该赎金记录被设置为用户的锁定屏幕图像,警告受害者不要重新启动系统。

    Humble勒索软件的勒索信显示为锁屏图像

    研究人员分析的第二个Humble勒索软件变体使用PowerShell,certutil.exe和extd.exe下载组件文件(由趋势科技检测为Boot.Win32.KILLMBR.AD),而不是在批处理中进行编码并自动从批处理中删除文件。

    最新的Humble勒索软件变体的组件

    此变体会通知受感染的设备的受害者,如果他们在五天内未支付0.0002比特币(截至撰写时价值9.79美元)的赎金,则所有文件都将被删除。

    Humble勒索软件第二种变体的勒索信

    缓解措施

    随着勒索软件家族和变体的发展,攻击者会变得更加谨慎,使用复杂的技术和行为,目的是成功地从勒索软件中抽取数百万美元。根据保险公司Coalition的说法,从2019年到2020年第一季度,网络勒索金额翻了一番。

    用户和组织应该遵循重要的安全建议,以保护他们的设备和系统免受勒索软件的伤害,包括执行最低特权原则,禁用本地管理帐户,限制对共享或网络驱动器的访问。

    以下是对用户和组织防止勒索软件攻击的其他重要建议:

    • 未经验证的电子邮件和其中嵌入的链接应谨慎打开,因为勒索软件会以这种方式传播。
    • 重要文件的备份应该使用3-2-1规则:在两个不同的介质上创建三个备份副本,一个备份放在单独的位置。
    • 定期更新软件、程序和应用程序,以保护它们免受最新漏洞的伤害。
    • 保护个人信息的安全,因为即使这样攻击者也可能会发现破解系统安全的信息线索。

    本文翻译自:

    https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 对出现的两个新的勒索软件变体——AlumniLocker和Humble的分析

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情