研究发现,早期“三重勒索”软件SunCrypt至今仍然活跃
2022-3-29 10:45:38 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据Bleeping Computer消息,作为一种RaaS(勒索软件即服务),SunCrypt在2020年期间活动猖獗,虽然在之后有所沉寂,但根据最新发现,该勒索软件目前仍不时处于活跃状态。

SunCrypt 是早期的“三重勒索”软件之一,包括文件加密、威胁发布被盗数据以及针对非付费受害者的 DDoS(分布式拒绝服务)攻击。尽管如此,SunCrypt在这之后并没有发展成为一个大型的RaaS组织,但根据Minerva Labs的一份报告,这种停滞并没有阻止SunCrypt不断更迭出新的版本。

在今年的版本中,SunCrypt的新功能包括终止进程、停止服务以及擦除设备数据执行勒索。这些功能在其它勒索软件中已经存在,因而就目前看来SunCrypt仍处在开发的早期阶段。

进程终止包括资源密集型进程,这些进程可以阻止对打开的数据文件进行加密,例如写字板(文档)、SQLWriter(数据库)和 Outlook(电子邮件);清理功能在加密例程结束时激活,使用两个 API 调用来擦除所有日志。清除所有日志后,勒索软件会使用 cmd.exe将自身从磁盘中删除。最新版本中保留的一个重要的旧功能是使用I/O完成端口,通过进程线程实现更快的加密。

清除事件日志的 API 调用

此外,SunCrypt继续对本地卷和网络共享进行加密,并且仍然保持着对Windows目录、boot.ini、dll文件、回收站和其他项目的允许列表。如果这些项目被加密,计算机将无法操作。

SunCrypt使用的最新版赎金票据

目前,SunCrypt的活动策略可能是针对高价值实体,并且将赎金支付的谈判保密,避免引起执法部门注意和来自媒体的报道。据悉,瑞士最大的连锁超市Migros已成为最新的受害者,该企业拥有超10万名员工。

综上,SunCrypt无疑是一个尚未破解的威胁,对其发展还需要进行密切的观察。

参考来源:https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/


文章来源: https://www.freebuf.com/news/326530.html
如有侵权请联系:admin#unsafe.sh