1. 极安网首页
  2. 网络安全新闻

手段不断升级!新的恶意软件Chaos兼具勒索软件和擦除器功能

这种危险的恶意软件自6月以来发展迅速,可能很快就会被释放到野外。

目前发现了一种名为Chaos的正在建设中的恶意软件,它正在地下论坛上做广告宣传可供测试。尽管它自称为勒索软件,但一项分析表明实际上更像是一个擦除器。

Chaos自6月开始存在并不断更新



根据趋势科技研究员Jesus的说法,Chaos自6月以来一直存在,并且已经循环了四个不同的版本,最后一个版本于8月5日发布。这种快速发展可能意味着它很快就会为黄金时段做好准备,但到目前为止没有用于实际攻击。

Chaos 一开始声称是Ryuk 勒索软件的 .NET 版本——它一直在使用一个诡计,在其
GUI上加上Ryuk品牌。然而,Jesus称,在其第一个版本的引擎盖下看,几乎没有发现这种所谓的痕迹。相反,该样本“更像是一种破坏性的木马,而不是传统的勒索软件”

他补充说:“它没有加密文件(然后可以在目标支付赎金后解密),而是用随机字节替换文件的内容,之后文件以Base64编码。这意味着无法再恢复受影响的文件,使受害者没有动力支付赎金。”

这个版本Chaos的其他技巧



“Chaos
1.0版的一个更有趣的功能是它的蠕虫功能,这允许它传播到受影响系统上的所有驱动器,”Jesus写道。“这可能允许恶意软件跳到可移动驱动器上并逃离气隙系统。”

安装后,第一个版本的Chaos会搜索各种文件路径和扩展名以进行感染,然后释放一个名为read_it.txt 的勒索软件说明,要求 0.147
比特币,按今天的汇率计算约为 6,600美元。

同时,第二个版本增加了管理员权限的高级选项、删除所有卷影副本和备份目录的能力,以及禁用Windows 恢复模式的能力。

“然而,2.0 版本仍然覆盖了它的目标文件,” Jesus说。“发布该文件的论坛成员指出,如果无法恢复受害者的文件,他们将不会支付赎金。”

Chaos在3.0版本中变得更像勒索软件,因为添加了加密功能。据研究人员称,该样本能够使用AES/RSA加密对1
MB以下的文件,并具有解密器构建器。

然后,在八月初,论坛上出现了Chaos的第四次迭代,扩展了AES/RSA加密功能。现在,可以加密最大2MB的文件。而且根据分析,运营商可以像其他勒索软件一样,使用自己的专有扩展名附加加密文件。它还提供了更改受害者桌面壁纸的功能。

勒索软件数量持续增加



根据最近的一份报告,到2021年为止,勒索软件一直在增加。今年前六个月的全球攻击量与去年同期相比增长151%
。与此同时,联邦调查局警告说,现在全世界有100种不同的“菌株”在传播。报告发现,在野外部署最多的勒索软件是Ryuk,这可以解释Chaos
的作者试图乘机攻击的原因。

目前,Chaos“勒索软件”显然仍在建设中,因此新版本可能即将出现。例如,它缺乏几乎所有主要勒索软件家族现在都具备的数据泄露功能,无法进行双重勒索,但不确定什么时间这一疏忽会得到纠正。从本质上讲,Chaos如果落入坏人手中会很危险,如落到可以访问恶意软件分发和部署基础设施的恶意行为者手中,它可能对组织造成巨大损害。

恶意软件疯狂增长的数量警示我们,看似平静的网络空间下隐藏着巨大的危险。尤其随着数字时代的来临,数据已成为社会运转和人们便捷生活重要的基础保障。网络安全的核心问题是保护数据。提高软件自身安全性,是现有网络防护手段的重要补充,同时也是减少数据丢失的基础防线。

加强软件安全不但需要强化外部安全防御措施,同时也要关注软件自身安全。在软件开发时不断检测修复代码缺陷,是减少数据丢失的重要手段!如
静态代码检测可以有效查找代码语义、语法缺陷和运行时漏洞,有助于开发人员第一时间查找定位问题代码确保软件的安全性,在研发阶段开始找到并修复多种问题,节省大量时间人力成本。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

Chaos Malware Walks Line Between Ransomware and Wiper

文章来源于互联网:手段不断升级!新的恶意软件Chaos兼具勒索软件和擦除器功能

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/6319.html