新年刚过几天,人们就发现了2021年第一批新型勒索软件。根据最新的研究,到目前为止,还有一个叫做Babuk Locker勒索软件似乎已经成功入侵了五家公司。
研究人员是佐治亚理工学院计算机科学生Chuong Dong,他说他在推特上叫 "Arkbird "这个勒索软件首次出现在安全研究人员的推特上。然后,他在一个共享漏洞和泄露数据库的论坛上RaidForums上发现了Babuk相关信息。
Dong表示,根据Babuk勒索描述中提到的网站,以及RaidForums泄露的信息可以证明勒索软件已经成功入侵了世界上五家不同的公司。BleepingComputer至少有一家受害公司同意支付报告8.5赎金1万美元。
Dong说:
- 虽然Babuk有许多不成熟的攻击特性,但它也有许多新颖的技能,特别是加密和使用Windows功能方面。
Dong本周的分析说:
- Babuk它是一种新型的勒索软件,始于今年年初。虽然采用了非常不规范的编码技术,但采用了椭圆曲线Diffie-Hellman从目前的结果来看,算法的强加密方案对许多公司的攻击确实是有效的。
Babuk的特征
勒索软件32位.EXE文件的形式显然没有混淆加密保护。目前还不清楚勒索软件最初是如何传播给受害者的。
Dong告诉Threatpost:
- 到目前为止,我们还不知道勒索软件是如何进入公司的,但很可能是勒索软件集团通过网络钓鱼实现的。
在被勒索软件加密之前,Babuk包含在服务和流程列表中的相应流程和服务将被关闭。包括各种系统监控服务,如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在过程方面,Babuk31个过程将终止,包括sql.exe,oracle.exe和outlook.exe。
Dong向Threatpost解释说:
- 攻击有必要关闭应用程序,因为当勒索软件运行时,这些应用程序可能会打开文件。如果一个应用程序打开了一个文件,勒索软件就不能在第二次打开它,那么攻击就会失败。
加密方式
值得注意的是Babuk加密机制:它使用自己在攻击中实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥生成交换算法来加密文件,这使得受害者很难恢复文件。
Dong说:
由于ECDH勒索软件作者可以使用自己的私钥和受害者的公钥生成共享密钥来解密文件,这使得受害者无法自行解密文件,除非他们能够在恶意软件加密之前找到生成的随机私钥。
Sophos研究人员表示:
Babuk多线程也被使用。为了平行执行过程,提高系统利用率,许多计算机包含一个或多个多核CPU。像Babuk这样,多线程勒索软件可以并行化单个任务,以确保受害者在发现受害者受到攻击之前造成更大的损害。
不过,Dong说,勒索软件"多线程方法非常简单"。
他说,首先,它的多线程过程将使用递归来历文件。这个过程将从最高目录(例如C:///驱动器)从一个线程开始。在主加密功能中,程序将覆盖历父目录中的每个项目。如果找到一个文件,它将被加密。如果发现是一个新目录,则该过程将重新调用主加密函数作为父目录,然后覆盖文件夹。这个过程将持续多层,直到Babuk每个文件夹和文件都经历过。
Dong告诉Threatpost:
- 这是勒索软件的基本操作方法。开发恶意软件的人通常使用这种方法。虽然这个想法很好,但考虑到正常系统中至少有1万份文件,这是另一项巨大的工作。
勒索软件产生的线程数量通常是受害者机器上核心数量的两倍,然后分配数组存储所有线程句柄。
Dong说:
每个过程都有可能创建大量的线程,但在理想情况下,每个处理器最好只运行一个线程,以避免在加密过程中与时间和资源竞争。
Dong补充说,相比之下,Conti勒索软件正确使用多线程方法,使每个处理器的核心运行一个线程。它的加密速度非常快,不到30秒就可以加密C://驱动器。
Windows Restart Manager
Babuk还使用微软Windows Restart Manager该功能允许用户关闭和重启所有应用程序和服务。勒索软件使用的任何正在使用的文件过程都可以终止。Dong这意味着没有什么能阻止恶意软件加密文件。
此前,其他常见的勒索软件也被使用过Windows Restart Manager,包括Conti和REvil勒索软件(在2020年5月的新版本中发现)。
所有文件一旦加密,Babuk勒索信息告诉受害者,他们的计算机和服务器已经加密,并要求受害者使用Tor联系浏览器。
Tripwire高级安全研究总监Lamar Bailey电子邮件中说:
- 然而,如果受害者打算支付赎金,他们必须在聊天过程中上传文件,以便黑客能够解密文件。我预计解密失败率会很高。他们会赚钱吗?当然。但就像许多社会趋势一样,几个月后就不流行了。他们不会长期获得很多钱。
新的勒索软件发生在勒索软件攻击持续上升的情况下。自2018年以来,勒索软件攻击量飙升350%。在过去的一年里,医疗系统受到勒索软件的攻击尤为严重。最近的一份报告称,自11月以来,医疗机构的网络攻击量增加了45%。
本文翻译自: https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如果转载,请注明原始地址。