勒索软件操作针对 Enlisted 多人第一人称射击游戏的俄罗斯玩家,使用虚假网站传播游戏的木马版本。
Enlisted 是 Gaijin Entertainment 于 2021 年发行的一款合法游戏,月活跃玩家数在 50 万到 100 万之间。
该游戏是免费的,因此威胁行为者可以轻松地从发布者处下载安装程序并对其进行修改,以将恶意负载分发给毫无戒心的用户。
与游戏安装程序捆绑在一起的勒索软件伪装成 臭名昭著的 WannaCry的第三个主要版本,甚至在加密文件上使用“.wncry”文件扩展名。
被征入勒索软件
根据 分析病毒株的 Cyble 研究人员的 说法,这种新的“WannaCry”变种基于开源“Crypter”Python 储物柜,当然是为教育目的而制作的。
应该指出的是,这并不是第一次有人试图 模仿 WannaCry,可能是为了恐吓受害者并确保快速支付赎金。
从假冒网站下载的安装程序是“enlisted_beta-v1.0.3.115.exe”,启动后会在用户磁盘上放置两个可执行文件,即“ENLIST~1”(实际游戏)和“enlisted”(Python勒索软件启动器)。
勒索软件在初始化时创建一个互斥锁,以避免在受感染的计算机上运行多个实例。
然后它解析其 JSON 配置文件,确定目标文件类型、应跳过哪些目录、生成什么样的赎金票据、接收赎金的钱包地址以及其他攻击参数。
接下来,Crypter 勒索软件会扫描工作目录以查找“key.txt”文件以在加密步骤中使用,如果没有,则会生成该文件。
加密使用 AES-256 算法,所有锁定的文件都会收到“.wncry”文件扩展名。
有趣的是,勒索软件不会尝试终止进程或停止服务,这是现代储物柜的标准做法。
但是,它遵循从 Windows 中删除卷影副本的常见策略,以防止轻松恢复数据。
加密过程完成后,勒索软件会在专用的 GUI 应用程序上显示勒索信息,给受害者三天的时间来响应要求
威胁行为者还会修改受害者的背景图像,以确保即使受害者的防病毒软件阻止了基于 GUI 的勒索票据的启动,他们的信息也能传达。
攻击者不使用 Tor 站点或向受害者提供安全聊天链接,而是使用 Telegram 机器人进行通信。
俄罗斯对热门 FPS 游戏的国家禁令迫使当地游戏玩家到别处寻找娱乐,而 Enlisted 是探索过的替代方案之一。
威胁行为者似乎已经抓住了这个机会,他们很可能会为类似的俄罗斯本地化游戏创建其他虚假网站。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 假 WannaCry 勒索软件针对俄罗斯“入伍”FPS 玩家
