Lilith是JAMESWT发现的一款基于C/C++控制台的勒索软件,专为64位版本的Windows设计。与今天推出的大多数勒索软件一样,Lilith执行双重勒索攻击,攻击者在加密设备之前窃取受害者的重要数据。根据Cyble研究人员对Lilith的分析,这款新型勒索软件并没有引入任何新内容。然而,Lilith,以及最近的RedAlert和0mega,仍应被视为新的威胁,企业应更加关注它们。当执行Lilith的详细信息时,Lilith将尝试终止与硬编码列表中的条目匹配的进程,包括Outlook、SQL、Thunderbird、Steam、PowerPoint、WordPad、Firefox等。此过程将有价值的文件从当前可能正在使用它们的应用程序中释放出来,从而允许对这些高价值文件进行加密。在加密过程开始之前,莉莉丝会在所有列举的文件夹中创建并放置赎金票据。该说明给受害者三天时间通过提供的Tox聊天地址联系勒索软件参与者,否则他们的公共数据可能会暴露。近日,一种代号为“莉莉丝”的新型勒索软件活动浮出水面,并在互联网上发起了攻击。该勒索软件将受害企业的数据信息发布在支持双重勒索攻击的数据泄露网站上。莉莉丝的赎金票据(Cyble)不加密的文件类型是EXE、DLL和SYS,而程序文件、网络浏览器和垃圾文件夹也不加密。有趣的是,Lilith还排除了“ecdh_pub_k.bin”,它存储了BABUK勒索软件感染的本地公钥。包括BABUK密钥(Cyble)的排除列表这可能是复制代码的残余,因此它可能是两个勒索软件菌株之间存在联系的标志。最后,使用WindowsCryptographyAPI执行加密,通过Windows的CryptGenRandom函数生成随机密钥。勒索软件在加密文件时会附加“.lilith”文件扩展名。我们应该注意什么?虽然现在判断Lilith是否会发展成为大规模威胁或成功的RaaS项目还为时过早,但分析师仍应密切关注其进展。莉莉丝的第一个受害者是总部位于南美的大型建筑集团,这表明莉莉丝可能对大公司感兴趣。它背后的运营商已经意识到他们需要在政治迷宫中穿行,以避免成为执法部门的目标。毕竟,大多数这些新颖的勒索软件项目都是对旧程序的改造,因此它们的运营商通常很清楚这个领域的复杂性。参考来源:https://www.bleepingcomputer.com/news/security/new-lilith-ransomware-emerges-with-extortion-site-lists-first-victim/
