最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

新的亚速数据擦除器试图陷害研究人员

网络安全 快米云 99浏览

威胁演员带着邪恶的笑容微笑

一种新的破坏性“Azov Ransomware”数据擦除器正在通过盗版软件、密钥生成器和广告软件包大量分发,试图通过声称他们是攻击的幕后黑手来陷害知名安全研究人员。

Azov 勒索软件错误地声称是由一位名叫 Hasherazade 的知名安全研究人员创建的,并列出了参与该操作的其他研究人员,包括我自己和 news.zzqidc.com。

名为 RESTORE_FILES.txt 的赎金记录说,设备被加密是为了抗议克里米亚被没收,并且因为西方国家在帮助乌克兰对抗俄罗斯方面做得不够。

给受害者的“Azov Ransomware”数据擦除器说明
给受害者的“Azov Ransomware”数据擦除器说明
来源:news.zzqidc.com

勒索信告诉受害者在 Twitter 上联系我、news.zzqidc.com、Hasherazade、MalwareHunterTeam、Michael Gillespie 或 Vitali Kremez 以恢复文件,错误地暗示我们参与了勒索软件操作。

需要明确的是,勒索说明中列出的那些与该勒索软件无关,并且被威胁者陷害。因此,不幸的是,我们没有解密密钥,也无能为力。

此外,由于无法联系威胁参与者支付赎金,因此该恶意软件应被视为破坏性数据擦除器,而不是勒索软件。

不幸的是,受害者已经开始联系 news.zzqidc.com寻求帮助恢复文件,尽管我们愿意提供帮助,但目前还没有已知的帮助方式。

虽然威胁行为者声称他们这样做是为了支持乌克兰,但news.zzqidc.com知道有一个乌克兰组织受到此数据擦除器的影响。

雨刷器的名字来源于乌克兰亚速团,这是一支有争议的军队,据称过去与新纳粹意识形态有关。

这不是威胁行为者第一次试图为他们的恶意软件陷害安全研究人员。

2016 年,Apocalypse 勒索软件操作 在 Fabian Wosar 之后 将其变种之一重命名为Fabiansomware。2020 年,Maze 勒索软件开发者之一 发布了 MBR Locker,声称它是由 Vital Kremez 制造的。

我们对亚速雨刮器的了解

在过去两天开始的新活动中,威胁参与者似乎通过 SmokeLoader 恶意软件僵尸网络购买了“安装”,以提供新的破坏性 Azov 擦除器。

SmokeLoader 是一个恶意软件僵尸网络,其他威胁参与者可以租用或购买“安装”,在受感染的设备上分发他们自己的恶意软件。SmokeLoader 通常通过推送虚假软件破解、游戏修改、作弊和密钥生成器的网站分发。

在过去的几天里,SmokeLoader 已经开始提供新的“Azov Ransomware”以及其他恶意软件 [ VirusTotal ],例如 RedLine Stealer 信息窃取恶意软件和 STOP 勒索软件。

news.zzqidc.com知道受害者被双重加密,首先使用 Azov,然后使用 STOP 勒索软件,因为 SmokeLoader 同时交付了两者。

初始勒索软件可执行文件 [ VirusTotal ] 将被放到 Windows 临时 (%Temp%) 文件夹中的随机文件下并执行。

启动后,擦除器会将 C:\Windows\System32\msiexec.exe 复制到 C:\ProgramData\rdpclient.exe [ VirusTotal ] 并对其进行修补以包含亚速擦除器。此外,可以将擦除器配置为在 Windows 使用以下注册表项启动时启动。

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
“Bandera” = “C:\ProgramData\rdpclient.exe”

擦除器现在将扫描计算机上的所有驱动器并加密任何没有 .ini.dll.exe扩展名的文件。

加密文件时,它会将.azov 文件扩展名附加到加密文件的名称中。比如1.doc被加密重命名为1.doc.azov,如下图。

由“Azov Ransomware”数据擦除器加密的文件
由“Azov Ransomware”数据擦除器加密的文件
来源:news.zzqidc.com

在扫描文件的每个文件夹中,擦除器将创建名为 RESTORE_FILES.txt 的文本文件,其中包含来自威胁参与者的消息,如 本文前面所示 。

MalwareHunterTeam 发现的前一个版本的擦除器使用了不同的赎金记录,并带有更暗的信息。

来自旧版本 Azov 数据擦除器的消息
来自旧版本的亚速数据擦除器的消息
来源:news.zzqidc.com

虽然研究人员将分析勒索软件的加密弱点,但此时,勒索软件应被视为具有破坏性,因为无法联系威胁参与者并恢复解密密钥。

如果发现免费恢复文件的方法,我们将更新本文。

但是,如果此数据擦除器加密了您的数据,您可能还感染了其他恶意软件,例如信息窃取木马。

因此,您应该立即更改您的在线帐户的密码,尤其是那些性质敏感的密码,例如网上银行、密码管理器和电子邮件帐户。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的亚速数据擦除器试图陷害研究人员