皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

usdt回收(www.caibao.it):新的一年,新型勒索软件Babuk Locker更先针对大型企业举行攻击

admin2021-01-1780新闻

新年刚过没几天,人们就发现了2021年的第一批新型勒索软件。凭据最新的研究,到现在为止,一个名为Babuk Locker的勒索软件似乎已经乐成入侵了五家公司。

研究人员是佐治亚理工学院的计算机科学学生Chuong Dong,他说,他是在推特上一位名叫 "Arkbird "的平安研究人员的推文中第一次看到这个勒索软件的。随后,他在一个分享破绽和泄密数据库的论坛RaidForums上发现了Babuk的相关信息。

Dong示意,凭据Babuk勒索说明中提到的网站,以及RaidForums泄露的有关信息,可以证实该勒索软件已经乐成入侵了全球五家差别的公司。凭据BleepingComputer的讲述,这些受害公司其中至少有一家已经赞成支付8.5万美元的赎金。

Dong说:

虽然Babuk有许多不成熟的攻击特征,但它也有异常多新颖的技巧,特别是在加密和行使Windows功效方面。

Dong在本周的剖析中说:

Babuk是一种新型的勒索软件,始于今年年初,只管接纳了很不规范的编码手法,但其行使椭圆曲线Diffie-Hellman算法的强加密方案,从现在的效果来看,确实是对许多公司的攻击是有用的。

Babuk的特征

该勒索软件是以32位.EXE文件的形式泛起的,很明显它没有做混淆加密珍爱。现在也还不清晰该勒索软件最初是若何传播给受害者的。

Dong告诉Threatpost:

到现在为止,我们还不知道勒索软件是若何进入公司的,但很有可能是勒索软件团体通过 *** 钓鱼这一途径实现的。

在被勒索软件加密前,Babuk中包罗的服务和历程列表中所对应的历程和服务都会被关闭。其中包罗种种系统监控服务,好比BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在历程方面,Babuk会终止31个历程,包罗sql.exe,oracle.exe和outlook.exe。

Dong向Threatpost注释说:

关闭应用程序对于攻击来说是很有需要的,由于当勒索软件运行时,这些应用程序可能会打开文件,若是一个应用程序已经打开了一个文件,勒索软件就不能在次打开它,那么攻击就会失败。

加密方式

值得注意的是Babuk接纳的加密机制:它在攻击中使用自己实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥天生交流算法来对文件举行加密,这使得受害者几乎不可能将文件举行恢复。

Dong说:

,

www.allbetgame.us

欢迎进入欧博平台网站(www.aLLbetgame.us),www.aLLbetgame.us开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博游戏等业务。

,

由于ECDH的机制,勒索软件作者可以使用自己的私钥和受害者的公钥天生共享秘钥来解密文件,这使得受害者不可能自行解密文件,除非他们能够在恶意软件完成加密之前找到天生的随机私钥。

Sophos研究人员示意:

Babuk还使用了多线程。为了能让历程并行执行,提高系统行使率,许多计算机中都包罗一个或多个多核的CPU。像Babuk这样可以行使多线程的勒索软件,能够将单个义务并行化,以确保在受害者发现他们受到攻击之前,可以造成更大的损坏。

不外,Dong示意,该勒索软件的"多线程方式异常简朴"。

他说,首先,它的多线程历程会使用递归来遍历文件。这个历程会从更高目录(例如C://驱动器)的一个线程更先,在主加密功效中,程序将遍历父目录中的每一个项目。若是找到了一个文件,它就会对其举行加密。若是发现是一个新的目录,这个历程将以该目录为父目录再次挪用主加密函数,然后遍历该文件夹。这个历程会连续多层,直到Babuk遍历了每一个文件夹和文件。

Dong告诉Threatpost:

这是勒索软件的基本操作方式,那些开发恶意软件的人通常会使用这个方式,这个想法虽然很好,但要考虑到一个正常系统中至少有10000个文件,这又是一个很大的工作量。

勒索软件要发生的线程数目通常是将受害者机械上的焦点数目增加一倍,然后再分配一个数组来存储所有的线程句柄。

Dong说:

每个历程都有可能建立大量的线程,然而,在理想的情形下,每个处理器更好只运行一个线程,以制止在加密历程中,线程之间相互竞争处理器的时间和资源。

Dong弥补说,相比之下,Conti勒索软件就正确地行使了多线程方式,它使每个处理器焦点运行一个线程。它的加密速率异常快,只需不到30秒就可以加密C://驱动器。

Windows Restart Manager

Babuk还行使了微软的Windows Restart Manager功效,它能使用户关闭和重启所有应用程序和服务。勒索软件行使的这一功效可以终止任何正在使用文件历程。Dong示意,这可以确保没有任何东西能阻止恶意软件加密文件。

此前,其他常见的勒索软件也曾行使过Windows Restart Manager,包罗Conti勒索软件(在2020年7月的一次攻击中被发现)和REvil勒索软件(在2020年5月的新版本中被发现)。

一旦所有文件被加密,Babuk的勒索信息就告诉受害者他们的计算机和服务器已经被加密,并要求受害者使用Tor浏览器与他们联系。

Tripwire平安研究高级总监Lamar Bailey在一封电子邮件中说:

然而,若是受害者计划支付赎金,他们必须要在谈天历程中上传文件,以便让黑客解密文件,我预计解密的失败率会相当高。他们会赚钱吗?当然会。但就像许多社会潮水一样,过不了几个月就不流行了,他们并不会历久的获取大量资金。

新的勒索软件是在勒索软件攻击连续上升的情形下泛起的。自2018年以来,勒索软件攻击数目猛增了350%。在已往的一年里,医疗系统受到勒索软件攻击的情形尤为严重,最近的一份讲述称,自11月份以来,针对医疗机构的 *** 攻击增加了45%。

本文翻译自: https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/

网友评论

1条评论