DeathRansom从玩笑演变为实际的勒索软件

网络安全公司Fortinet今天报道说,一种被称为“ DeathRansom”的勒索软件曾经被认为是一个笑话,现在能够使用可靠的加密方案对文件进行加密。

更糟的是,勒索软件得到了稳定的分发活动的支持,并且在过去两个月中每天都在使定期受害者成为受害者。

FIRST DEATHRANSOM版本未加密任何内容

在2019年11月报告了首次DeathRansom感染。该勒索软件的初始版本被认为是个玩笑。当时,DeathRansom只是模仿为勒索软件,而没有加密用户的任何文件。

这些第一个版本将在用户的所有文件中添加文件扩展名,并在用户的计算机上放置赎金字样,要求钱。

所有这一切都是为了诱使受害者支付赎金,而用户却没有意识到他们的文件并未真正加密。

如据报道在时间[ 1,2 ],所有用户必须做重新获得接取他们的加密的文件是消除从任意文件中第二延伸部。

新版本以可靠的加密方案发布

但是,有关DeathRansom代码的工作仍在继续,并且新版本现在可以用作实际的勒索软件。

根据Fortinet的说法,新的DeathRansom菌株使用“ Curve25519算法用于椭圆曲线Diffie-Hellman(ECDH)密钥交换方案,Salsa20,RSA-2048,AES-256 ECB和简单的块XOR算法的复杂组合来加密文件”。[见上图]

尽管安全研究人员仍在考虑DeathRansom的实现方案错误的加密方案,但勒索软件似乎正在使用可靠的加密方案。

FORTINET追踪了DEATHRANSOM作者

但是Fortinet对DeathRansom的调查并不仅限于分析这种新恶意软件的源代码。研究人员还寻找有关勒索软件作者的线索。

通过从DeathRansom源代码和分发勒索软件有效载荷的网站中提取字符串,Fortinet团队能够成功地将DeathRansom勒索软件与负责数年后广泛的网络犯罪活动的恶意软件操作员链接。

Fortinet说,在创建和分发DeathRansom之前,这位恶意软件运营商花了很多时间用多个密码窃取程序(Vidar,Azorult,Evrial,1ms0rryStealer)和加密货币矿工(SupremeMiner)感染用户。

根据Fortinet在地下黑客论坛上发现的各种广告,DeathRansom作者似乎已经花费了多年的时间来用恶意软件感染用户,从其浏览器中提取用户名和密码,并在线出售被盗的凭证。

这些过去的恶意软件活动留下了Fortinet分析师收集的大量线索。其中包括scat01和SoftEgorka的昵称,vitasa01 [@] yandex.ru电子邮件地址,俄罗斯电话号码和gamehack [。] ru网站(似乎由DeathRansom作者拥有并经营,而不是被黑客入侵)现场)。

研究人员使用这些指标在Iandex.Market,YouTube,Skype,VK,Instragram和Facebook上找到了个人资料。所有这些都与一个年轻的俄罗斯人Egor Nedugov联系在一起,后者生活在顿河畔罗斯托夫附近的俄罗斯小镇阿克赛。

黑客论坛上的过往帖子显示,使用Scat01用户名的Nedugov已发布了针对他当时正在使用的恶意软件菌株的评论,Fortinet后来对其进行了追踪并记录在他们的报告中,例如Vidar,Evrial和SupremeMiner。

在一个广阔的2 - 系列今天发表的报告,Fortinet公司列出了所有的Nedugov的在线账户和它们之间的连接的明显网格。

Fortinet表示非常有信心他们找到了DeathRansom背后的合适人选,而且他们从同一位演员那里找到了更多在线个人资料,他们没有将其纳入报告。

此外,DeathRansom作者似乎还通过“网络论坛成员的网络钓鱼和诈骗”打破了地下网络犯罪现场的不成文规则之一。

“这就是为什么几乎所有他在地下论坛上的帐户最终都被禁止的原因,” Fortinet说。

目前,DeathRansom正在通过网络钓鱼电子邮件活动分发。Fortinet报告包含公司可以在其安全产品中包含并防止公司系统受到感染的危害指标。Fortinet还表示,仍在研究勒索软件的加密方案,以发现可能的错误,他们希望以此为基础创建免费的解密程序,以帮助过去的受害者。

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

相关推荐