记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

勒索软件居然使用WinRAR“加密”数据

2021-11-19 12:13

随着安全软件对勒索软件加密方法的检测越来越周密,一些勒索软件纷纷开始寻求新的“加密方法”。近日,一个名为Memento的新勒索软件组织在攻击中采用了一种不同寻常的方法:将文件压缩到受密码保护的WinRAR档案中。

上个月,Memento开始利用VMware vCenter Server Web客户端漏洞初始访问受害者网络。vCenter漏洞的编号为“CVE-2021-21971”,是一个未经身份验证的远程代码执行漏洞,严重性等级为9.8(严重)。

该漏洞允许任何人在暴露的vCenter服务器上远程访问TCP/IP端口443,以管理员权限在底层操作系统上执行命令。

虽然该漏洞的补丁已于2月发布,但Memento屡次得手表明许多组织尚未修补该漏洞。

自4月以来,Memento一直在利用此漏洞,而在5月,另一个攻击者开始利用它通过PowerShell命令安装XMR挖矿软件。

Memento上个月启动了勒索软件操作,当时他们开始vCenter从目标服务器提取管理凭据,通过计划任务实现驻留,然后使用RDP over SSH在网络内横向移动。

在侦察阶段完成之后,攻击者使用WinRAR创建被盗文件的存档并将其泄露。攻击流程如下:

最后,攻击者使用Jetico的BCWipe数据擦除程序删除攻击痕迹,然后使用基于Python的勒索软件进行AES加密。

然而,由于系统有反勒索软件保护,Memento加密文件的尝试未能成功。

为了绕过安全软件对商品勒索软件的检测,Memento想出了一个“有趣”的策略,完全跳过加密步骤,直接将被盗文件添加到受密码保护的WinRAR文档中,对密码进行加密后删除原始文件。

“现在‘crypt’代码不再加密文件,而是将未加密形式的文件直接用WinRAR生成需要密码访问的压缩副本,文件扩展名为.vaultz,”Sophos分析师Sean Gallagher解释道:“每个文件在存档时都会生成访问密码,然后密码本身被加密。”

Memento的赎金定价方式也很特别:受害者可支付15.95 BTC(94万美元)完全恢复数据,或者每个文件支付0.099 BTC(5850美元)。


知识来源: https://www.wangan.com/p/7fygf3f1a3d423cb

阅读:82863 | 评论:0 | 标签:加密 勒索

想收藏或者和大家分享这篇好文章→复制链接地址

“勒索软件居然使用WinRAR“加密”数据”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁