Posted in威胁分析
Mimic勒索软件分析
概述
Mimic勒索,最早发现于2022年6月,其特点是利用了合法的文件搜索工具Everything提供的API,通过Everything32.dll中的函数可以实现文件快速检索,获得指定后缀格式文件的路径,从而大大提高文件加密的效率。Mimic勒索中还使用了泄露的Conti勒索软件代码实现访问共享与端口扫描,使用CryptoPP库提供的加密算法。不仅如此,Mimic勒索开发者添加了许多额外的功能来保证顺利完成加密。
Posted in威胁分析
Megazord勒索软件分析
概述
Megazord勒索软件是Akira勒索软件新的变种,Akira勒索软件于2023年3月出现,在6月的时候出现了Linux版本,加密方式是RSA + AES结合对文件进行加密。与之前不同的是此次的样本使用Rust语言编写,其加密方式很新颖,用了以往不常见的curve25519椭圆曲线非对称加密算法和sosemanuk对称加密算法的组合来进行加密,加密后的文件的后缀名为.powerranges,还会在每个文件夹下释放一个勒索文档。
Posted in威胁分析
Manner勒索软件分析
概述
Manner勒索软件,样本使用“白加黑”的方式运行。根据分析该可能通过恶意下载链接、恶意的程序安装包等方式传播,伪装为虚假的QQMusic播放器向国内用户发起勒索攻击。该勒索软件启动后加密磁盘文件随后通过弹出消息窗口显示勒索信。使用开源对称算法的文件加密程序,经过技术分析被加密的文件能够进行解密恢复。
Posted in威胁分析
Enmity勒索软件分析
概述
Enmity勒索软件使用AES和RSA加密算法组合的方式对本地数据进行加密以此要挟用户支付赎金,其显著特征是加密后的文件名及后缀由自定义算法生成,格式为:<随机生成字符串>-Mail[<email>]ID-[<随机生成的ID值>].<随机生成字符串>。除此之外,该勒索软件密钥的获取方式也做了改进,相关的密钥均在本地随机生成,由于缺少相应的解密私钥,所在暂时无法解密。