一周前,健身追踪器、智能手表和GPS产品制造商佳明(Garmin)遭到WastedLocker勒索软件的全面攻击.网站已关闭。WastedLocker背后的勒索软件团伙EvilCorp向Garmin索要1000万美元的赎金。昨日,《天空新闻》(天空新闻)报道称,Garmin已与EvilCorp达成解密协议,在WastedLocker勒索软件攻击后解锁其文件并恢复业务。该报告显示,Garmin通过名为AreteIR的勒索软件谈判中间人向勒索软件背后的团伙EvilCorp支付了赎金。虽然支付赎金是恢复业务的最后手段,但如果Garmin确实支付了赎金,从法律角度来看,该公司可能会遇到麻烦。美国财政部于去年12月对EvilCorp实施制裁,制裁“一般禁止美国人与EvilCorp或其任何个人进行交易”。EvilCorp之前的活动还使用Dridex银行木马来获取银行凭证,然后在不知道受害者银行账户的情况下进行未经授权的电子资金转账。然后将这些被盗资金存入他们的银行账户并转移到海外。Dridex瞄准了多家公司,使他们损失了数百万美元。受害者包括两家银行、一个学区、一家石油公司、一家建筑材料供应公司等等。结果,美国当局悬赏500万美元逮捕32岁的EvilCorp头目马克西姆·V·雅库贝茨(MaksimV.Yakubets),绰号“aqua”。Garmin拒绝就有关赎金或数据解密的任何调查结果置评。网络安全意识培训提供商KnowBe4的JamesMcQuiggan在接受采访时指出:“企业可以避免支付赎金的一种方法是评估其数据备份是否可用以及它们是否已被网络犯罪分子破坏或删除。在组织的网络安全计划中,拥有一个适当的数据备份策略至关重要。该策略需要包括定期安排和测试备份以确定其完整性。如果备份恢复过程失败,可能会因停机而给组织的收入和声誉带来额外风险。备份只是勒索软件缓解计划的一部分。大多数勒索软件攻击的关键攻击媒介是网络钓鱼攻击,以及易受攻击和未打补丁的系统。“为什么WastedLocker这么“残暴”?”卡巴斯基研究员FedorSinitsyn在最近的一篇文章中表示,今年上半年使用WastedLocker的人数有所增加。在技??术分析中,研究人员强调了WastedLocker勒索软件中几个值得注意的特征。首先,它有一个命令行界面,攻击者可以使用它来控制它的操作方式。他们可以指定特定目录作为目标并确定优先加密哪些文件设置优先级。CLI还允许攻击者加密指定网络资源上的文件。WastedLocker还能够绕过Windows计算机上的用户帐户控制(UAC),这是一种旨在防止恶意权限升级的安全检查。如果一个程序试图提升其权限以允许其正常运行,则会弹出一个窗口询问:“是否允许以下??程序对这台计算机进行更改?”设备所有者或管理员可以选择是或否,但系统会提示分配给具有标准用户访问令牌的用户输入管理员凭据。Sinitsyn说,为了绕过UAC,WastedLocker可以使用已知的绕过技术悄悄提升其特权。在加密方面,WastedLocker结合了AES和RSA算法的公共参考实现,称为“rsaref”,在其他勒索软件中也有出现。此外,它对每个加密文件的原始内容应用MD5哈希,在解密过程中使用它以确保过程的正确性。他解释说:“对于每个处理过的文件,WastedLocker都会生成一个唯一的256位密钥和一个128位IV,它们将以CBC模式使用AES-256算法对文件内容进行加密。”原始内容的AES密钥、IV和MD5哈希和一些辅助信息都使用嵌入在木马主体中的公共RSA密钥进行加密。所考虑的样本包含一个4096位的RSA公钥。他补充说,RSA加密的结果是Base64编码的,并保存在扩展名为.garminwasted_info的新文件中。通常,会为每个受害者的加密文件创建一个新的信息文件。Sinitsyn说:“这是BitPaymer和DoppelPaymer木马以前使用的一种罕见方法。“”我们分析的这个WastedLocker样本是专门为此类攻击设计和开发的。它使用强大且正确实施的“经典”AES+RSA加密方案,因此如果没有攻击者的RSA私钥,则无法解密此样本加密的文件。“为防止勒索软件攻击,用户应该:及时更新最新的操作系统和应用程序版本;阻止通过Internet访问远程桌面协议(RDP);并尽快提高最终用户对此类威胁的安全意识。“《安安牛》原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看该作者更多好文
