勒索软件在不断变化和发展。攻击者会使用各种方法来勒索目标支付赎金。现在它不仅会加密数据,还会造成数据泄露。许多组织认为,一个好的反病毒保护解决方案可以防止勒索软件攻击,但勒索软件攻击仍然一次又一次得逞。大多数情况下,攻击者会利用虚拟专用网络中的一些已知漏洞,或者攻击暴露在互联网上的主机,而不是直接使用恶意软件进行攻击。RagnarLockerRagnarLocker在2020年上半年开始攻击大型组织,具有很强的针对性,每个样本都是针对目标组织量身定做的。如果受害者拒绝付款,他们的数据将在网上公布。攻击者声称这笔钱是他们发现漏洞、提供文件解密以及为受害者提供OpSec培训的奖励。根据拒绝付款的受害者名单,RagnarLocker的主要目标是美国公司,涉及各行各业。RagnarLocker技术分析研究人员选择了一个最近发现的恶意软件样本进行分析:1195d0d18be9362fb8dd9e1738404c9d启动时,RagnarLocker会检查计算机区域设置。如果它是所列国家之一,它将停止运营并退出。对于不在上述列表中的国家,它会继续检查字符串:所有准备工作完成后,木马会搜索本地磁盘并对受害者的文件进行加密。RagnarLocker使用基于Salsa20的加密。每个文件的密钥和随机值也是唯一生成的,并由木马中硬编码的2048位公钥一起加密。加密文件后,RagnarLocker会在加密文件中添加加密密钥、随机数和初始化常量,并添加“!@#_?agna?_#@!”标记。EgregorEgregor勒索病毒于2020年9月被发现,初步分析与Sekhmet勒索病毒和Maze勒索病毒有关。Egregor勒索软件通常会断开网络连接。恶意软件样本是一个DLL文件,需要使用命令行参数和给定的正确密码启动。Egregor是攻击性最强的勒索软件家族,如果72小时内未支付赎金,受害者的数据将被释放。EgregorTechnicalAnalysis的研究人员选择了一个最近发现的样本进行分析:b21930306869a3cdb85ca0d073a738c5该恶意软件只有在启动期间提供正确的密码时才会运行。该技术旨在阻碍自动沙箱分析以及研究人员的手动分析,使得在没有正确密码的情况下无法解压缩和分析有效负载。解压并运行恶意程序后,我们最终得到一个仍然不适合静态分析的混淆二进制文件。Egregor中使用的混淆技术与Maze和Sekhmet中使用的混淆技术非常相似。控制流混淆当样本payload开始执行时,它会检查操作系统用户语言以避免在安装了以下语言的计算机上进行加密:终止以下进程:Egregor使用基于流密码ChaCha和非对称加密的混合加密方案密码RSA。Egregor将生成一个唯一的会话密钥对。会话特定的RSA密钥由ChaCha派生并使用唯一生成的密钥+nonce进行加密,然后使用主公用RSA密钥对此密钥和nonce进行加密。结果保存在二进制文件中(在本例中为C:\ProgramData\dtb.dat),并作为赎金票据中的base64编码字符串。Egregor处理的文件生成一个新的256位ChaCha密钥和64位随机数,通过ChaCha加密文件内容,然后用会话公钥RSA密钥加密密钥和随机数,最后用一些辅助信息保存。每个加密文件的最后16个字节由动态标记组成。Egregor的地理覆盖范围比RagnarLocker更广:它涉及很多行业:保护措施不向互联网开放远程桌面服务(如RDP),开放服务需要强密码;及时安装商用虚拟专用网络可用补丁;及时更新所有设备上的软件以防止勒索软件攻击;将防御策略重点放在检测横向移动和数据泄漏到互联网上;定期备份数据;培训员工提高关于如何防止勒索软件攻击的安全意识。
