对出现的两个新的勒索软件变体——AlumniLocker和Humble的分析
2021-03-26 10:00:00 Author: www.4hou.com(查看原文) 阅读量:110 收藏

趋势科技的研究人员最近发现了两个新的勒索软件变体——AlumniLocker和Humble,它们表现出不同的复杂行为和加密后的勒索技术。

其中一种勒索手段包括支付异常高昂的赎金,并威胁要公布受害者的关键数据。这些新的恶意功能迭代证明,2021年以勒索为目标的勒索软件仍然存在,而且还很盛行占据网络攻击的主流。

AlumniLocker勒索软件分析

研究人员最近发现了AlumniLocker勒索软件,,它是Thanos勒索软件家族的一个变体,它会要求受害者支付10个比特币的赎金,截至发稿时10个比特币的价格相当于457382.60美元。这些勒索软件的使用者还威胁说,如果他们不在48小时内付款,就会在他们的网站上公布受害者的数据。

AlumniLocker通过恶意的PDF邮件附件被传播开来,如下所示根据研究人员的调查,那份PDF文件是一张伪造的发票,催促受害者下载。

1.png

恶意PDF文件的截图

该恶意PDF文件包含一个链接(hxxps://femto[.]pw/cyp5),一旦点击,将下载一个包含下载器的ZIP文件。

2.jpg

下载器内容

ZIP文件还包含一个伪造的JPG文件,该文件实际上是一个PowerShell脚本,它将通过滥用后台智能服务传输(BITS)模块下载和执行AlumniLocker有效载荷。

3.png

包含滥用BITS模块的PowerShell脚本的伪造JPG文件

AlumniLocker勒索软件文件是一个MSIL (Themida-packed Microsoft Intermediate Language)可执行文件。它将.alumni附加到加密文件中:

4.png

受害者的加密文件的截图

一旦AlumniLocker对受害者的文件进行加密,便会通过记事本显示一个文本文件,其中详细说明了攻击者所要求的赎金以及如何支付赎金的说明。如果赎金金额未在规定的期限内支付,勒索软件的使用者就会威胁要在他们的网站上公布受害者的个人文件,而截至发稿时,该网站是无法访问的。

5.jpg

AlumniLocker勒索信

Humble勒索软件变体分析

研究人员在2021年2月发现了Humble勒索软件,这个不太典型的勒索软件家族是用可执行的包装程序(Bat2Exe)编译的。研究人员现在发现了两种Humble勒索软件变体,两种变体都具有勒索技术,可促使受害者迅速支付赎金。一个变体威胁受害者,一旦他们重启系统,主启动记录(MBR)将被重写;另一种变体也发出同样的威胁,如果受害者在五天内不支付赎金,MBR将被重写。

主要可执行文件是批处理文件本身,这可能不常见,但不是新文件。该勒索软件之所以与众不同,是因为它利用了通信平台Discord提供的公共Webhook服务向其报告或向受害者传播感染报告。

Humble勒索软件拒绝explorer.exe查看或访问本地存储驱动器。

6.png

受感染计算机的屏幕截图,显示除了可移动驱动器外,无法通过explorer.exe访问其他任何驱动器

7.png

Humble勒索软件阻止explorer.exe访问本地存储驱动器

研究人员分析的第一个Humble勒索软件变体删除了%temp%\{temp directory}\extd.exe组件,该组件通常用于加密和Web API二进制文件,以帮助进行文件加密。

该恶意软件利用certutil.exe(一种管理Windows证书的程序)从随机输入生成密钥,然后extd.exe组件将使用它来加密文件。

8.jpg

Humble勒索软件使用CertUtil从随机输入中生成密钥

Humble勒索软件会加密104种文件类型,包括具有以下扩展名的文件:.exe,.pdf,.mp3,.jpeg,.cc,.java和.sys。

成功加密目标设备后,恶意软件会通过自定义的AutoIt编译的Discord Webhook二进制文件将报告发送到勒索软件操作员的Discord Webhook面板。

9.png

使用Discord webhook面板生成的报告,用于通知Humble勒索软件操作员新的成功感染和加密

该恶意软件将生成一个随机字符串,然后将其用于附加受感染的文件。该恶意软件还会显示一个赎金记录,该赎金记录被设置为用户的锁定屏幕图像,警告受害者不要重新启动系统。

10.png

Humble勒索软件的勒索信显示为锁屏图像

研究人员分析的第二个Humble勒索软件变体使用PowerShell,certutil.exe和extd.exe下载组件文件(由趋势科技检测为Boot.Win32.KILLMBR.AD),而不是在批处理中进行编码并自动从批处理中删除文件。

11.png

最新的Humble勒索软件变体的组件

此变体会通知受感染的设备的受害者,如果他们在五天内未支付0.0002比特币(截至撰写时价值9.79美元)的赎金,则所有文件都将被删除。

12.jpg

Humble勒索软件第二种变体的勒索信

缓解措施

随着勒索软件家族和变体的发展,攻击者会变得更加谨慎,使用复杂的技术和行为,目的是成功地从勒索软件中抽取数百万美元。根据保险公司Coalition的说法,从2019年到2020年第一季度,网络勒索金额翻了一番。

用户和组织应该遵循重要的安全建议,以保护他们的设备和系统免受勒索软件的伤害,包括执行最低特权原则,禁用本地管理帐户,限制对共享或网络驱动器的访问。

以下是对用户和组织防止勒索软件攻击的其他重要建议:

1.未经验证的电子邮件和其中嵌入的链接应谨慎打开,因为勒索软件会以这种方式传播。

2.重要文件的备份应该使用3-2-1规则:在两个不同的介质上创建三个备份副本,一个备份放在单独的位置。

3.定期更新软件、程序和应用程序,以保护它们免受最新漏洞的伤害。

4.保护个人信息的安全,因为即使这样攻击者也可能会发现破解系统安全的信息线索。

本文翻译自:https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/Qj5q
如有侵权请联系:admin#unsafe.sh