Chaos 恶意软件被错误地宣传为 Ryuk Clone

安全研究人员一直在挑选一种新的恶意软件，他们现在称之为 Chaos。该恶意软件在他们的视线中已经有一段时间了，于 2021 年 6 月首次被发现，看起来它背后的坏人正在换档并准备在野外首次推出它。

到目前为止，Chaos 还没有被用于主动攻击或威胁活动，但似乎这一刻并不太远。开发它并在暗网论坛上发布更新的黑客一直在加快他们的更新计划，而 Chaos 可能很快就会准备好进行第一次野外旅行。该恶意软件在短短两个月内经历了四次重大更新。

与趋势科技合作的研究人员分析了 Chaos，并发现了一些有趣的事情。对于可能很快就会出售给其他崭露头角的黑客的产品，Chaos 做了很多谎言。首先，它假装是臭名昭著的 Ryuk 勒索软件的分支，但使用 .NET 编码。这甚至在包含笔记和加密钱包字符串的赎金屏幕上也有路标。

然而，当趋势科技研究员 Monte de Jesus 剖析恶意软件的内部结构时，事实证明事实并非如此。 Chaos 的运行方式使其更类似于“破坏性木马”，而不是常规勒索软件。

在加密文件之前，Chaos 会用随机字节替换它们的内容。这实际上意味着即使受害者确实支付了赎金并获得了解密密钥，他们也会简单地将他们的文件解密为大量随机数据。

对工具包 Chaos 的一个奇怪的补充，除了它的擦除器属性之外，是它能够传播到连接到受害系统的任何和所有驱动器。这是一个问题，因为这种蠕虫能力还涵盖可移动驱动器。

恶意软件的赎金记录称为“read_it.txt”。在其中，Chaos 要求提供超过 6000 美元的比特币。

随着恶意软件的更新，它慢慢开始表现得更像传统勒索软件。逐步更新引入了正确加密小文件的能力，而不会首先破坏其中的原始数据。然而，即使在最新的迭代中，Chaos 也不是一个成熟的、适当的勒索软件。随着其背后的黑客进一步开发它，这种情况可能会发生变化。然而，这并没有减少 Chaos 作为破坏性数据擦除工具所带来的危险。