8月的前几天开始了三起著名的勒索软件事件。 SYRK和STOP勒索软件变种在受感染机器上加密文件的报告始于当月。 同时,ENTSCRYPT又名GermanWiper,是其中的第三个,也是更阴险的一种,它是一种无文件的勒索软件和抽头程序,无法从受感染的计算机中检索文件。
八月前两天,我们的遥测报告报告了大量LNK文件,这些文件使用PowerShell代码在计算机上下载ENTSCRYPT(趋势科技检测为Ransom.Win32.ENTSCRYPT.THHOAAIA)。
图1. LNK文件中的恶意代码的屏幕截图
根据ZDNet,GermanWiper通过包含伪造工作申请的恶意垃圾邮件进行分发。 垃圾邮件附件中的ZIP文件包含恶意的LNK文件。 一旦下载到设备上,恶意软件将继续用零覆盖本地文件的内容,从而使这些文件不可恢复。 它还会将文件扩展名更改为五个随机的字母数字字符。
图2。被ENTSCRYPT aka GermanWiper感染的文件的屏幕截图,显示了相同的五个字符的文件扩展名
一旦文件的内容被重写,受感染设备的浏览器中将打开用德语写的赎金记录,要求获得1500美元的比特币以换取解密密钥。
但是,应该警告受害者,这是一种诡计; 即使已支付赎金,由于已被永久覆盖,重写的文件也将不再恢复。
图3.受到ENTSCRYPT aka GermanWiper赎金记录感染的文件的屏幕截图
与此同时,8月1日,PC安全频道的创建者和恶意软件分析师在Twitter上分享了SYRK勒索软件(趋势科技检测为Ransom.MSIL.SYRK.A)是一种变体,可能是受到黑客工具的启发 适用于流行的在线游戏Fortnite,并且能够在受感染的设备上终止Windows的任务管理器和开源工具Process Hacker。 该勒索软件使用AES算法加密数据,并将加密文件的扩展名更改为.syrk。
该推文还分享了一个感染了SYRK的设备的屏幕快照,该屏幕显示SYRK还带有计时器和警告,通知用户如果在指定时间内未支付赎金,则会分三批删除其文件。 框架。 第一批将删除“图片”文件夹中的文件,第二批将删除桌面上保存的文件,第三批将删除“文档”文件夹中的文件。
一天后,勒索软件猎人和ID勒索软件的创建者Michael Gillespie发现了一个STOP勒索软件变体,该变体对文件进行加密并将文件的扩展名更改为.cosakos(趋势科技检测为Ransom.Win32.STOP.AN)。
经过进一步分析,我们发现此STOP勒索软件变体具有两个阶段的解压缩过程,然后使用“ 0x80” XOR加密在主机中解密其资源。 有趣的是,此变体将在具有以下国家/地区的IP地址的设备上终止并删除自身: 亚美尼亚 阿塞拜疆 白俄罗斯 哈萨克斯坦 吉尔吉斯斯坦 俄罗斯 叙利亚 塔吉克斯坦 乌克兰 乌兹别克斯坦 防御勒索软件
最近,勒索软件攻击呈上升趋势,威胁在公共部门,地方政府和私营公司中造成严重破坏,仅举几例。 面对勒索软件攻击时,执法和安全专家不愿支付赎金,因为这是针对威胁的临时解决方案。 此外,支付赎金并不能始终确保网络分子能够像GermanWiper那样兑现诺言。
相反,建议企业采取适当的安全措施来防御勒索软件攻击,或者至少在有人逃避防御时减轻其影响。 用户和组织还可以遵循以下最佳做法来防御勒索软件感染或减轻影响: 最终用户应警惕网络分子仍用来传递不同恶意软件变体的可疑电子邮件,URL或附件。 定期备份重要文件,以确保在勒索软件攻击时数据和信息仍然可用。 限制授权人员访问管理工具和文件等关键工具。 定期更新和修补软件,程序和应用程序,以防止利用漏洞的网络攻击。 由机器学习提供支持的趋势科技安全解决方案
趋势科技XGen™安全性提供了威胁防御技术的跨代融合。 它使用机器学习技术主动有效地检测以前未知文件类型的恶意软件,从而确保保护数据中心,云环境,网络和端点免受各种威胁的侵害。 勒索软件 SHA-256哈希 趋势科技预测机器学习检测 趋势科技病毒码检测 停止 26d5eaad09fc158b8bd16dab763af9f6faf17860936309451b5165da263242de Troj.Win32.TRX.XXPE50FFF031 Ransom.Win32.STOP.AN 塞克 077eee74b8f1227707b389a953234756d3bf8b78108a24f132bd5feb209dd8f6 勒索软件 ENTSCRYPT / GermanWiper 0d115ba578ab98415697a815d93c6dddc4483fa13d65992660722fc8af8cd792 Ransom.Win32.ENTSCRYPT.THHOAAIA ENTSCRYPT / GermanWiper(LNK) c816626c0ac50667a076783336530eeb6104f7ba866141491de66b1abaad083b Trojan.LNK.POWLOAD.THHOAAI ENTSCRYPT / GermanWiper(VBS) e77447114c2261f0b0e19f8430cba22c1e27da1f0ac44ffbe9ba94cc6706846a 特洛伊木马
Sylvia Lascano,Jeanne Jocson,Raphael Centeno和Earle Earnshaw的其他分析。 PDT于2019年8月6日上午9:37更新,以反映 ENTSCRYPT勒索软件/清除程序的趋势科技病毒码检测的更改
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢