最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Azov Ransomware是一个擦除器,一次销毁666个字节的数据

网络安全 快米云 来源:快米云 50浏览

黑客破坏数据

Azov Ransomware 继续在全球范围内广泛分布,现已证明是一种数据擦除器,可故意破坏受害者的数据并感染其他程序。

上个月,威胁行为者开始通过破解和假装加密受害者文件的盗版软件分发名为“ Azov Ransomware ”的恶意软件。

然而,赎金通知并没有提供联系信息来协商赎金,而是告诉受害者联系安全研究人员和记者,将他们视为勒索软件的开发者。

给受害者的“Azov Ransomware”数据擦除器说明
给受害者的“Azov Ransomware”数据擦除器说明
来源:news.zzqidc.com

由于没有联系信息,并且列出的联系人无法帮助受害者,我们假设该恶意软件是数据擦除器。

恶魔般的数据擦除器

上周,Checkpoint 安全研究员 Jiří Vinopal 分析了 Azov 勒索软件,并向 BleepingComputer 证实该恶意软件是专门为破坏数据而设计的。

检查点推文

该恶意软件包含一个触发时间,该时间会使其在受害者的设备上处于休眠状态,直到 2022 年 11 月 27 日上午 10:14:30 UTC,这将触发设备上所有数据的损坏。

Vinopal 说它会覆盖文件的内容并破坏交替的 666 字节垃圾数据块中的数据。数字 666 通常与​​圣经中的“魔鬼”相关联,清楚地表明了威胁者的恶意意图。

“每个周期正好有 666 个字节被随机(未初始化的数据)覆盖,接下来的 666 个字节保留原始数据,”Vinopal 告诉news.zzqidc.com。

“这在一个循环中工作,所以擦除的文件结构看起来像这样:666 字节的垃圾,666 字节的原始文件,666 字节的垃圾,666 字节的原始文件,等等……”

在交替的 666 字节数据中损坏数据
在交替的 666 字节数据中损坏数据
来源:Jiří Vinopal

更糟糕的是,数据擦除器将感染或“后门”,Windows 设备上的文件路径不包含以下字符串的其他 64 位可执行文件:

:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\Default\Cache\
Documents and Settings
\All Users

当对可执行文件进行后门处理时,恶意软件将注入代码,在启动看似无害的可执行文件时启动数据擦除器。

“文件的后门以多态方式工作,这意味着用于后门文件的相同 shellcode 每次都以不同的方式编码,”Vinopal 解释说。

“(例如,如果同一个文件 A 将被后门 2 次到文件 B1 和 B2,B1 和 B2 shellcode 部分不同,因此 B1 和 B2 在磁盘上也不同) – 这可能用于避免静态 AV 检测。”

感染 64 位文件以实现持久性
感染 64 位文件以实现持久性
来源:Jiří Vinopal

如今,威胁行为者继续通过 Smokeloader 僵尸网络传播恶意软件,这种僵尸网络常见于假冒盗版软件和破解网站。

在撰写本文时,仅在今天就已经有页面向 VirusTotal 提交了该恶意软件,显示了在过去两周内有多少受害者受到该恶意软件的影响。

亚速提交给 VirusTotal
亚速提交给 VirusTotal
资料来源:news.zzqidc.com

目前尚不清楚威胁行为者为何花钱分发数据擦除器。然而,理论范围从掩盖其他恶意行为或只是为了“控制”网络安全社区。

不管是什么原因,感染了 Azov Ransomware 的受害者将无法恢复他们的文件,并且由于其他可执行文件被感染,他们应该重新安装 Windows 以确保安全。

此外,由于 Smokeloader 被用于分发 Azov 数据擦除器,它可能还安装了其他恶意软件,例如密码窃取恶意软件。因此,必须重置电子邮件帐户、金融服务或其他敏感信息的任何密码。

最后,虽然该勒索软件以乌克兰“亚速”军团命名,但该恶意软件可能与该国无关,只是将该名称用作虚假标志。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Azov Ransomware是一个擦除器,一次销毁666个字节的数据