ProLock勒索软件操作员向支付赎金的受害者发送错误的解密器
众所周知,并非所有勒索软件都是一样的。一些家庭是由经验不足的年轻黑客创建的,他们从开放存储库中借用了大部分代码。通常,它们在实施单个组件时会犯错误,最终会导致勒索软件样本,而这些样本不会构成太大的威胁。相比之下,其他文件加密恶意软件家族则由拥有几乎无限数量资源的复杂的黑客团队设计和构建。
ProLock是勒索软件领域中一个相对较新的名称。在过去的几个月中,它一直占据着头条新闻,很有趣的是,它是否是更复杂的威胁之一,或者是否由一群业余爱好者将其组合在一起。
Table of Contents
ProLock –严重威胁各种规模和规模的组织
Sophos的研究人员最近决定对ProLock进行仔细研究,因为其中一个客户受到了ProLock的打击。显而易见,这不是所谓的脚本小子的工作。
在Sophos调查的攻击案例中,最初的进入点是黑客利用的,配置不良的RDP服务器。在使受害者受到威胁之后,他们收集了有关所处网络的更多信息,后来他们使用了被盗凭据列表在其中移动。实际的勒索软件操作始于在主机的%ProgramData%文件夹中放置四个文件。
有一个BMP图像,一个XML文件和几个批处理文件。第一个批处理文件使用XML文档中设置的参数设置计划的任务。计划任务运行第二个批处理文件,该文件反过来提取使用隐写术在BMP映像中编码的勒索软件有效载荷。
在加密数据之前,ProLock会终止某些过程,以确保在加密阶段打开的文件较少。完成对信息的加密后,ProLock会丢弃赎金记录,并附带一个用户ID和指向Tor托管的网站的链接,受害者可以在其中获得有关黑客要求的更多信息。
到目前为止,所有内容看起来都非常专业且先进。然而,当研究人员查看一些样本时,他们发现尽管部分代码是针对个别受害者定制的,但用户ID是硬编码的,并且不是唯一的。真奇怪但是,更奇怪的是ProLock加密文件的方式。
ProLock的解密器不起作用
ProLock不会加密小于8KB的文件。对于更大的文件,它将以第九千字节开始加密过程。结果,如果打开一个勒索软件已经加密的文件,您将看到它的前几部分保持可读形式。
Sophos的研究人员认为,这就是ProLock的解密器不起作用的原因。一段时间以来,已经有ProLock操作员提供错误的解密程序的报告,但这是我们第一次看到对该问题的技术解释。 Sophos的报告表明,安全专家可以在修改有故障的解密器后才能够检索数据,但他们指出,这并不便宜。
这是为什么您不应该与网络犯罪分子做生意的又一证明。但是,既然我们都知道问题出在哪里,那么ProLock操作员修复该问题的可能性有多大?
ProLock帮会修复他们的解密器吗?
从现在开始,可能不愿进行简单的Google搜索的潜在受害者将知道,即使他们支付了赎金,他们也可能无法取回数据。他们合作的可能性较小,您可能会认为这可能使勒索软件操作员更新其加密机制并解决该问题。关键在于,解密器是否起作用对他们没有多大影响。
由于公司现在保留其数据的备份,因此在勒索软件遭到攻击时,支付赎金不再是检索数据的唯一方法。去年,针对组织的网络犯罪团伙意识到他们需要第二个勒索点,他们开始在加密信息之前先窃取信息。这样,当受害者拒绝支付解密器费用时,骗子就可能威胁泄漏大量敏感数据。许多勒索软件人员已经做到了这一点,现在我们开始看到它可以工作了。
Sophos的报告说,ProLock帮派尚未采用该策略,但确实指出他们可以随时执行此策略。可能受到此特定勒索软件攻击的组织应意识到威胁,并必须采取必要的预防措施来加强其网络。