近日,安天 CERT 在梳理 络安全事件时发现了一个名为 Chaos 的勒索软件。该勒索软件被发现于 2021 年 6 月初,主要通过垃圾邮件进行传播。经验证,安天智甲终端防御系统(简称 IEP)的勒索软件防护模块可有效阻止Chaos 勒索软件的加密行为。
Chaos 勒索软件目前处于升级开发状态,其设计者在黑客论坛中公开构建器,并广泛征集修改建议,不断完善软件功能。因部分功 能 与 Ryuk 勒 索 软 件 较 为 相 似, 设 计 者 想将其命名为 Ryuk。该勒索软件使用 .NET 框架开发,具备反调试功能,运行后创建名为” 7z459ajrk722yn8c5j4fg” 的互斥体保证单实例运 行。 复 制 自 身 至 %Appdata%Roaming 路径下并修改文件名为“svchost.exe”,添加注册 表 项 HKCUSoftwareMicrosoftWindowsCurrentVersionRunMicrosoft Store、在启动目录中创建“svchost.url”文件从而实现持久化驻留和自启动。该勒索软件不采用加密算法对文件进行加密,而是使用随机字节数据覆写原始文件数据,在原文件名后追加“.apis”后缀。在含有被覆写文件的位置创建“read_apis.txt”勒索信,内容为勒索提醒、赎金金额和比特币钱包地址。随后删除系统卷影,删除备份和禁用修复功能,以防止恢复被覆写文件。
▲ Chaos 勒索软件勒索信
Chaos 勒索软件采用随机字节数据覆盖的方式覆盖文件原始数据,会造成文件数据的丢失。无论受害者是否缴纳赎金,攻击者都无法为受害者解密文件。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!