手段不断升级!新的恶意软件Chaos兼具勒索软件和擦除器功能
共 1770字,需浏览 4分钟
·
2021-08-12 10:51
这种危险的恶意软件自6月以来发展迅速,可能很快就会被释放到野外。
目前发现了一种名为Chaos的正在建设中的恶意软件,它正在地下论坛上做广告宣传可供测试。尽管它自称为勒索软件,但一项分析表明实际上更像是一个擦除器。
Chaos自6月开始存在并不断更新
根据趋势科技研究员Jesus的说法,Chaos自6月以来一直存在,并且已经循环了四个不同的版本,最后一个版本于8月5日发布。这种快速发展可能意味着它很快就会为黄金时段做好准备,但到目前为止没有用于实际攻击。
Chaos 一开始声称是Ryuk 勒索软件的 .NET 版本——它一直在使用一个诡计,在其 GUI上加上Ryuk品牌。然而,Jesus称,在其第一个版本的引擎盖下看,几乎没有发现这种所谓的痕迹。相反,该样本“更像是一种破坏性的木马,而不是传统的勒索软件” 。
他补充说:“它没有加密文件(然后可以在目标支付赎金后解密),而是用随机字节替换文件的内容,之后文件以Base64编码。这意味着无法再恢复受影响的文件,使受害者没有动力支付赎金。”
这个版本Chaos的其他技巧
“Chaos 1.0版的一个更有趣的功能是它的蠕虫功能,这允许它传播到受影响系统上的所有驱动器,”Jesus写道。“这可能允许恶意软件跳到可移动驱动器上并逃离气隙系统。”
安装后,第一个版本的Chaos会搜索各种文件路径和扩展名以进行感染,然后释放一个名为read_it.txt 的勒索软件说明,要求 0.147 比特币,按今天的汇率计算约为 6,600美元。
同时,第二个版本增加了管理员权限的高级选项、删除所有卷影副本和备份目录的能力,以及禁用Windows 恢复模式的能力。
“然而,2.0 版本仍然覆盖了它的目标文件,” Jesus说。“发布该文件的论坛成员指出,如果无法恢复受害者的文件,他们将不会支付赎金。”
Chaos在3.0版本中变得更像勒索软件,因为添加了加密功能。据研究人员称,该样本能够使用AES/RSA加密对1 MB以下的文件,并具有解密器构建器。
然后,在八月初,论坛上出现了Chaos的第四次迭代,扩展了AES/RSA加密功能。现在,可以加密最大2MB的文件。而且根据分析,运营商可以像其他勒索软件一样,使用自己的专有扩展名附加加密文件。它还提供了更改受害者桌面壁纸的功能。
勒索软件数量持续增加
根据最近的一份报告,到2021年为止,勒索软件一直在增加。今年前六个月的全球攻击量与去年同期相比增长151% 。与此同时,联邦调查局警告说,现在全世界有100种不同的“菌株”在传播。报告发现,在野外部署最多的勒索软件是Ryuk,这可以解释Chaos 的作者试图乘机攻击的原因。
目前,Chaos“勒索软件”显然仍在建设中,因此新版本可能即将出现。例如,它缺乏几乎所有主要勒索软件家族现在都具备的数据泄露功能,无法进行双重勒索,但不确定什么时间这一疏忽会得到纠正。从本质上讲,Chaos如果落入坏人手中会很危险,如落到可以访问恶意软件分发和部署基础设施的恶意行为者手中,它可能对组织造成巨大损害。
恶意软件疯狂增长的数量警示我们,看似平静的网络空间下隐藏着巨大的危险。尤其随着数字时代的来临,数据已成为社会运转和人们便捷生活重要的基础保障。网络安全的核心问题是保护数据。提高软件自身安全性,是现有网络防护手段的重要补充,同时也是减少数据丢失的基础防线。
加强软件安全不但需要强化外部安全防御措施,同时也要关注软件自身安全。在软件开发时不断检测修复代码缺陷,是减少数据丢失的重要手段!如静态代码检测可以有效查找代码语义、语法缺陷和运行时漏洞,有助于开发人员第一时间查找定位问题代码确保软件的安全性,在研发阶段开始找到并修复多种问题,节省大量时间人力成本。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?1&id=7643993c3d124edb9472f71713417764
https://threatpost.com/chaos-malware-ransomware-wiper/168520/