以前不为人知的“ARCrypter”勒索软件危害了拉丁美洲的主要组织,现在正在全球范围内扩大其攻击范围。
去年 8 月,新勒索软件家族背后的威胁参与者 攻击了智利的一家政府机构 ,目标是 Linux 和 Windows 系统,并在加密文件上附加了“.crypt”扩展名。
当时,智利威胁分析师 Germán Fernández 告诉 BleepingComputer,该病毒株似乎是全新的,与任何已知的勒索软件家族都没有关联。
BlackBerry 的研究人员通过一份报告证实了这一点,该报告将该家族标识为 ARCrypter,并将其与 10 月份针对哥伦比亚国家食品和药物监督研究所 (Invima)的第二次攻击联系起来。
BlackBerry 还警告说,ARCrypter 现在正在将其业务扩展到拉丁美洲以外的地区,并针对全球的各种组织,包括中国和加拿大。
BleepingComputer 证实了这一扩展,同时在德国、美国和法国发现了 ARCrypter 受害者。
赎金要求各不相同,在 BleepingComputer 看到的某些情况下低至 5,000 美元,因此 ARCrypter 作为中级勒索软件参与者运作。
ARCrypter 详情
黑莓表示,ARCrypter 的首批样本出现在 2022 年 8 月上旬,即智利袭击事件发生前几周。
攻击向量仍然未知,但分析人员能够找到两个 AnonFiles URL,它们用作远程资源以获取包含“win.exe”的“win.zip”存档。
可执行文件是一个包含资源 BIN 和 HTML 的释放器文件。HTML 保存赎金票据数据,而 BIN 包含需要密码的加密数据。
.png)
如果提供了密码,BIN 将在受感染的机器上创建一个随机目录来存储第二阶段的有效负载,该目录使用随机字母数字字符命名。
“虽然我们无法确定用于解密 BIN 资源的正确解密密钥,但我们高度确定第二个有效载荷是 ARCrypter 勒索软件,”BlackBerry 在报告中说。
然后,ARCrypter 有效负载通过添加以下注册表项来创建持久性:
“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”
接下来,恶意软件会删除所有卷影副本以防止轻松恢复数据,修改网络设置以确保稳定的连接,然后加密除以下类型之外的所有文件。
“Boot”和“Windows”文件夹等关键位置的文件也会被跳过,以避免系统完全无法使用。
除了“.crypt”扩展名之外,加密文件将在文件管理器上显示“您的所有文件已被加密”消息,这要归功于对以下注册表项的修改:
HKCU\Control Panel\International\sShortDate
HKLM\SYSTEM\ControlSet001\Control\CommonGlobUserSettings\Control Panel\International\sShortDate.png)
虽然威胁行为者声称在攻击期间窃取了数据,但勒索软件操作目前没有数据泄漏站点,他们可以用来为未付费的受害者发布数据。
目前,人们对 ARCrypter 的运营商、他们的起源、语言以及与其他勒索软件团伙的潜在联系知之甚少。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 以前身份不明的ARCrypter勒索软件在全球范围内扩展
