专业设计的勒索州瑞拉可能是下一个大事
IT承包角色的女性数量激增
DCMS列出了国家数据策略的计划
俄罗斯初创公司比以往任何时候都更国际
银行提供三个月的时间来报告它们如何回应中断
Vespa的制造商创造了一个机器人管家
这台电脑使瘫痪患者可以进行沟通
薪水是软件开发人员最大的动力
谨防布置SlockChain安全盲目,警告RSA
使用新的英特尔技术购物高科技和无忧无虑
Inu是城市消费者的昂贵的个人滑板车
年轻一代被亚马逊银行的服务诱惑
Matt Hancock说,AI和Brexit Post-Brexit成功的其他技术钥匙
用户迎接Avaya Bankruptcy与耸肩
Lloyds Bank削减了450个工作,以使数字化角色
这是Evernote如何将3个PB的数据传达给Google的云
现在思科可以网络网络网络
5G从像IBM和爱立信的硅天线一样开始
英特尔原子芯片的缺陷可能会崩溃服务器,网络装备
屠宰场中的食品标准机构飞行员区块链
自治机器人即将在D.C.和Silicon Valley享用午餐
AI应该增强,而不是替换,人类,说IBM和Microsoft的首席执行官
英国科技最具影响力的女性:2018年的Longlist.
BT宣布“不用”量子安全网络
亚马逊Cheme在WebEx之后,Skype for Business和其他人
增强现实可以提高零售商的效率
什么是使用G套件保持企业?
隐私团体说FBI黑客操作走得太远
您现在可以制作使用蓝牙5的智能小工具和IoT设备
企业必须报告网络犯罪,小组敦促
网络攻击者兑现“隐藏”攻击表面
荷兰地区泽兰没有柴油备份的数据中心
黑客寻求公司内部人士在黑市上
网络罪犯在新的网站上避免自己的行列中的欺诈行为
专家们担心勒索软件击中关键基础架构
Microsoft扩展了其团队聊天应用程序的开发人员功能
Windows 7迁移权力PC Uptick
Microsoft Drops As-You-Go Azure云选项
澳大利亚大学在HPC提升后占星之后
这是美国政府如何忍住网络安全
Martha Lane Fox说,我们需要为安全和隐私设计
报告发现,企业网络容易受到内幕攻击的攻击
东芝考虑了旋转的内存业务
英特尔追求Moore的法律,计划今年制作前7纳米筹码
Computerworld新闻现在通过Alexa Flash简报提供
荷兰政府IT项目超过预算1亿欧元
Apple的iOS 10.3是一个非常非常重要的升级
尽管违规行为,但英国安全支出低
纯粹首次亮相新的FlashArray // x横跨整个范围的NVME
GDPR驱逐出英国内部威胁
您的位置:首页 >产品 > 商业评论 >

专业设计的勒索州瑞拉可能是下一个大事

2021-08-07 09:44:06 [来源]:

安全研究人员发现了一个新的赎金软件,称为Spora,可以执行强大的离线文件加密,并为赎金支付模型带来几个“创新”。

迄今为止,恶意软件已针对俄语用户,但其作者还创建了一个英语版的解密门户,这表明他们很快就会扩大他们对其他国家的攻击。

[进一步阅读:战斗勒索软件:清新看Windows Server方法]

Spora脱颖而出,因为它可以加密文件而无需联系命令和控制(CNC)服务器,并以仍然允许每个受害者具有唯一解密密钥的方式执行此操作。

传统的赎金软件程序为每个加密文件生成AES(高级加密标准)密钥,然后使用CNC服务器生成的RSA公钥加密这些密钥。

RSA等公钥加密依赖于由公钥和私钥组成的密钥对。无论使用一个公钥加密哪个文件,只能使用其相应的私钥解密。

大多数ransomware程序在它们“安装在计算机上并请求生成RSA密钥对后联系命令和控制服务器。公钥将下载到计算机,但私钥永远不会离开服务器并留在攻击者中。这是受害者支付获得访问权限的关键。

在安装勒索瓶安装后,在Internet上到达服务器的问题是它为攻击者创建了薄弱的链接。例如,如果服务器由安全公司已知并被防火墙阻止,则加密过程不会启动。

一些赎金软件程序可以执行所谓的离线加密,但它们使用与所有受害者的恶意软件相同的RSA公钥。这种攻击者方法的缺点是给予一个受害者的解密器工具将为所有受害者工作,因为它们也共享相同的私钥。

根据安全公司EMSISOFT的研究人员,Spora创作者已经解决了这个问题.Mocsisoft的研究人员分析了该计划的加密程序。

恶意软件确实包含一个硬编码的RSA公钥,但这用于加密为每个受害者提供本地生成的唯一AES密钥。然后,此AES密钥用于从公共私有RSA密钥对中加密私钥,该对每个受害者也是本地生成和唯一的。最后,受害者的公共RSA密钥用于加密用于加密inpidual文件的AES键。

换句话说,Spora创建者已经向现在添加了另一个赎金软件程序的第二轮AES和RSA加密。

当受害者想要支付赎金时,他们必须将加密的AES钥匙上传到攻击者“付款网站。然后,攻击者将使用主RSA私钥解密它并将其返回给受害者 - 可能捆绑在解密器工具中。

解密器将使用此AES密钥解密本地生成的受害者的唯一RSA私钥,然后将用于解密恢复文件所需的每文件AES键。

通过这种方式,Spora可以在没有命令和控制服务器的情况下运行,并避免释放为所有受害者工作的主密钥,Emsisoft研究人员在博客文章中表示。“不幸的是,在评估Spora执行加密后,无法恢复加密文件而无需访问恶意软件作者的私钥。”

Spora的其他方面也将其与其他赎金软件操作相结合。例如,其创作者已经实施了一个系统,使他们能够为不同类型的受害者提出不同的赎金。

受害者必须上传在付款网站上的加密密钥文件还包含由恶意软件收集的关于受感染的计算机收集的识别信息,包括唯一的广告系列ID。

这意味着,如果攻击者发起专门针对业务的Spora分销活动,他们将能够判断该活动的受害者何时会尝试使用他们的解密服务。这使他们可以自动调整消费者或组织的赎金金额,甚至是世界各地的受害者。

此外,除了文件解密之外,Spora Gang还提供了单独定价的其他“服务”,例如“免疫力”,这确保了恶意软件不会再次感染计算机,或者“删除”,或者“删除”,也将删除该程序解密文件后。他们还提供完整的包裹,受害者可以购买所有三个价格。

付款网站本身是精心设计的,看起来很专业。它有一个集成的实时聊天功能和折扣的可能性。从Emsisoft研究人员观察到的内容,攻击者迅速响应消息。

所有这一切都指向Spora是一项专业且资金良好的运作。观察到到目前为止所观察的赎金值低于其他团伙的那些,这可能表明该威胁背后的集团想要快速建立自己。

到目前为止,研究人员看到Spora通过流氓电子邮件附件分发,这些附件从俄罗斯和其他俄语国家流行的会计软件计划发票。附件是包含恶意JavaScript代码的.hta(HTML应用程序)文件的形式。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。