. Gia đình dựa trên NET Ransomware mã hoá tập tin của người dùng thông qua kho phần mềm mã nguồn mở

Computer Security News

Chuyên gia bảo mật Zscaler cảnh báo rằng hai mới được tìm thấy. Dựa trên NET ransomware gia đình mật mã hóa các tập tin người sử dụng bằng cách sử dụng mã nguồn mở.

Gia đình có phần mềm độc hại được gọi là Vortex và BUGWARE và họ đã được nhận thấy trong cuộc tấn công trực tiếp thực hiện thông qua thư rác email có chứa độc hại URL.

Xoáy và BUGWARE đều được biên dịch trong Microsoft Intermediate Language (MSIL) và đã được đóng gói với đóng gói như vậy gọi là ‘Confuser’.

Theo phân tích của Zscaler, xoáy được viết bằng tiếng Ba Lan và nó sử dụng mã hóa AES-256 mã hóa hình ảnh, âm thanh, video, tài liệu và các tập tin dữ liệu có khả năng quan trọng trên máy tính của nạn nhân.

Tương tự như vậy với các biến thể khác ransomware, Vortex giọt một tống ngay sau khi nó đã hoàn thành quá trình mã hóa, thông báo cho các nạn nhân trên làm thế nào họ có thể khôi phục lại dữ liệu của họ và làm thế nào để gửi các khoản thanh toán tiền chuộc.

Ransomware cho phép người dùng giải mã hai trong số các tập tin miễn phí và yêu cầu một tiền chuộc $100, có thể tăng lên đến $200 trong bốn ngày. Các phần mềm độc hại nạn nhân sẽ được yêu cầu để liên lạc với các hacker thông qua địa chỉ email Hc9@2.pl hoặc Hc9@goat.si.

Đang được cài đặt vào hệ thống, Vortex ransomware cố gắng đạt được sự bền bỉ thông qua việc tạo ra một mục đăng ký, cũng như một khóa registry được đặt tên “AESxWin.” Ngoài ra, phần mềm độc hại được nhận thấy để xoá bản sao ẩn ngăn chặn người dùng khôi phục lại dữ liệu của họ mà không phải trả tiền chuộc.

Trong phần mềm độc hại chỉ huy và kiểm soát (C & C) giao tiếp phân tích, các chuyên gia an ninh phát hiện phần mềm độc hại gửi thông tin hệ thống và yêu cầu một mật khẩu được sử dụng cho mã hóa và giải mã khóa API.

Theo Zscaler, Vortex ransomware dựa trên AESxWin – một phần mềm miễn phí mã hóa và giải mã tiện ích lưu trữ trên GitHub và phát triển bởi các nhà phát triển Ai Cập Eslam Hamouda. Do đó, các tập tin được mã hóa có thể được giải mã bằng cách sử dụng AESxWin nếu mật khẩu được sử dụng để mã hóa được biết đến.

BUGWARE ransomware dựa trên mã nguồn mở ẩn xé mã, mà đã được khai thác để tạo ra các gia đình ransomware khác một số thời gian trước đây.

BUGWARE cũng sử dụng một giấy chứng nhận không hợp lệ giả vờ là cho khí INFORMATICA LTDA, yêu cầu nạn nhân phải trả tiền tương đương với một nghìn tập số thực Brazil trong Monero.

Ransomware là làm cho một danh sách các đường dẫn để mã hóa và mua sắm nó trong một tập tin tên Criptografia.pathstoencrypt và tìm kiếm cho tất cả các mạng cố định, và ổ đĩa lưu động, thêm tất cả những đường dẫn vào danh sách.

Các chuyên gia cũng nhận thấy rằng BUGWARE được tạo ra các mã khóa và sử dụng các thuật toán AES 256-bit để mã hoá tập tin người sử dụng, cũng như đổi tên các tập tin được mã hóa. Khoá AES được mã hóa quá, bằng cách sử dụng một chìa khóa công cộng RSA, và phím base64 mã hóa được lưu trong sổ đăng ký.

Để đạt được sự bền Bỉ, BUGWARE ransomware tạo ra một chìa khóa chạy mà đảm bảo nó được thực hiện mỗi khi người dùng đăng nhập vào máy tính. Trong trường hợp phần mềm độc hại phát hiện bất kỳ ổ đĩa lưu động, giảm xuống một bản sao của bản thân về họ, tên là “fatura-vencida.pdf.scr.”

Ngoài ra, BUGWARE thay đổi nền bàn làm việc của nạn nhân bằng cách sử dụng tập tin hình ảnh được tải về từ “i[.]imgur.com/NpKQ3KZ.jpg.”


Leave a Reply

Your email address will not be published. Required fields are marked *