分析两种新出现的勒索软件变种——AlumniLocker和Humble

TrendMicro研究人员最近发现了两种新的勒索软件变种——AlumniLocker和Humble——它们表现出不同的复杂行为和加密勒索软件。其中一种勒索策略涉及支付异常高额的赎金并威胁要发布受害者的关键数据。这些恶意功能的新迭代证明了以勒索为目标的勒索软件在2021年依然存在，并且仍然非常流行占据网络攻击的主流。AlumniLocker勒索软件分析研究人员最近发现了AlumniLocker勒索软件，它是Thanos勒索软件家族的一个变种，需要10个比特币作为赎金，截至发稿时相当于457,382.60美元。这些勒索软件的用户还威胁说，如果他们不在48小时内付款，就会在他们的网站上公布受害者的数据。AlumniLocker是通过一个恶意的PDF电子邮件附件进行传播的，如下图所示。根据研究人员的调查，该PDF文件是一张伪造的发票，敦促受害者下载它。恶意PDF文件的屏幕截图恶意PDF文件包含一个链接(hxxps://femto[.]pw/cyp5)，单击该链接将下载包含下载程序的ZIP文件。下载程序内容ZIP文件还包含一个伪造的JPG文件，该文件实际上是一个PowerShell脚本，它将通过滥用后台智能服务传输(BITS)模块来下载和执行AlumniLocker负载。伪造的JPG文件包含滥用BITS模块的PowerShell脚本。AlumniLocker勒索软件文件是一个MSIL（Themida封装的Microsoft中间语言）可执行文件。它将.alumni附加到加密文件：受害者加密文件的屏幕截图一旦AlumniLocker加密了受害者的文件，它就会通过记事本显示一个文本文件，详细说明攻击者要求的赎金以及如何支付赎金。如果不在规定的期限内支付赎金，勒索软件的用户威胁要在他们的网站上发布受害者的个人文件，截至发稿时该网站无法访问。AlumniLocker勒索软件Humble勒索软件变体分析研究人员于2021年2月发现了Humble勒索软件，这是一个不太典型的勒索软件系列，使用可执行包装程序(Bat2Exe)编译。研究人员现已发现Humble勒索软件的两种变体，这两种变体都具有促使受害者迅速支付赎金的勒索软件技术。一种变体威胁受害者说，一旦他们重新启动系统，主引导记录(MBR)就会被重写；另一个变体发出同样的威胁，如果受害者在五天内不支付赎金，MBR将被重写。主要的可执行文件是批处理文件本身，这可能不常见，但并不新鲜。该勒索软件的独特之处在于，它利用通信平台Discord提供的公共Webhook服务向其报告或向受害者传播感染报告。Humble勒索软件拒绝explorer.exe查看或访问本地存储驱动器。受感染计算机的屏幕截图显示explorer.exe无法访问除可移动驱动器以外的任何驱动器Humble勒索软件阻止explorer.exe访问本地存储驱动器.exe组件，常用于加密和WebAPI二进制文件，以帮助进行文件加密。该恶意软件利用certutil.exe（一种管理Windows证书的程序）从随机输入中生成一个密钥，然后由extd.exe组件使用该密钥来加密文件。Humble勒索软件使用CertUtil从随机输入生成密钥Humble勒索软件加密104种文件类型，包括具有以下扩展名的文件：.exe、.pdf、.mp3、.jpeg、.cc、.java和.sys。成功加密目标设备后，恶意软件会通过自定义的AutoIt编译的Discordwebhook二进制文件向勒索软件运营商的Discordwebhook面板发送报告。使用Discordwebhook面板生成的报告用于通知Humble勒索软件操作员新的成功感染和加密恶意软件将生成一个随机字符串，然后用于附加受感染的文件。该恶意软件还会显示设置为用户锁屏图像的勒索字条，警告受害者不要重启系统。Humble勒索软件的勒索字条显示为锁屏图像研究人员分析的第二个Humble勒索软件变体使用PowerShell、certutil.exe和extd.exe下载组件文件（趋势科技检测为Boot.Win32.KILLMBR.AD)，而不是批量编码并自动从批处理中删除文件。最新Humble勒索软件变体的组件该变体通知受感染设备的受害者，如果他们不在五天内支付0.0002比特币（截至撰写本文时价值9.79美元）的赎金，所有文件都将被删除。针对Humble勒索软件第二个变体的勒索软件缓解措施随着勒索软件家族和变体的发展，攻击者变得更加谨慎，使用复杂的技术和行为，目标是成功提取数百万美元。根据保险公司Coalition的数据，从2019年到2020年第一季度，网络勒索金额翻了一番。用户和组织应遵循重要的安全建议，以保护他们的设备和系统免受勒索软件的侵害，包括执行最小权限原则、禁用本地管理帐户以及限制对共享或网络驱动器的访问。以下是针对用户和组织防止勒索软件攻击的其他重要建议：未经验证的电子邮件和其中嵌入的链接应谨慎打开，因为勒索软件可以通过这种方式传播。重要文件的备份应使用3-2-1规则：在两个不同的媒体上创建三个备份副本，一个备份在单独的位置。定期更新软件、程序和应用程序以保护它们免受最新漏洞的侵害。确保个人信息的安全，因为即使这样，攻击者也可能找到危害系统安全的信息线索。本文翻译自：https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html