Knight 勒索软件给独眼巨人披上了一层新漆

Cyclops 勒索软件已更名，现在更名为 Knight 勒索软件。此类恶意软件的设计目的是对文件进行加密，并随后要求赎金来解密这些文件。

在我们的测试系统上运行 Knight 勒索软件样本后，它启动了加密文件的过程，并在其原始文件名中添加了“.knight_l”扩展名。例如，最初标记为“1.jpg”的文件将转换为“1.jpg.knight_l”，“2.png”将转换为“2.png.knight_l”，依此类推。此外，系统上每个包含加密文件的文件夹中都放置了一份名为“How To Restore Your Files.txt”的勒索字条。

值得注意的是，Knight 背后的组织将其作为勒索软件即服务来运营，这些威胁参与者还提供了旨在窃取信息的恶意软件。因此，这些勒索软件攻击有可能涉及双重勒索组件。我们检查的变体提到了此类策略的利用。

与 Knight 勒索软件相关的勒索字条通知受害者，他们的组织文件和文档已被加密。根据该消息，恢复数据的唯一可行方法是向攻击者付款。指定的赎金金额为 5000 美元，以比特币加密货币形式，并且这一要求是不可协商的。

付款完成后，受害者将被指示与网络犯罪分子建立联系并提供交易证据。此外，该消息还包含一个警告声明，即如果在四天内未能满足赎金要求，将导致从受感染系统中窃取的与业务相关的信息被出售。

Knight 勒索赎金 索要 5000 美元的比特币

骑士勒索信全文如下：

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

为什么勒索软件攻击者要重新命名他们的恶意软件？

勒索软件攻击者经常出于以下几个战略原因重新命名其恶意软件：

• 逃避检测：安全研究人员和防病毒软件不断努力识别和消除已知的勒索软件病毒。通过品牌重塑，勒索软件攻击者可以通过用新名称暂时掩盖其活动来逃避检测。这使得他们能够利用安全漏洞并在安全措施赶上之前赢得时间渗透系统。
• 新鲜方法：品牌重塑为勒索软件攻击者提供了采用新策略、技术和程序 (TTP) 的机会。他们可能会改变加密方法、支付机制，甚至引入新的攻击媒介。这种新方法可能会让受害者和安全专业人员措手不及，从而增加攻击成功的可能性。
• 避免恶名：臭名昭著的勒索软件菌株通常会引起执法部门、安全公司和媒体的更多关注。品牌重塑可以让勒索软件运营商摆脱与之前的攻击相关的恶名，并重新开始。
• 误导：通过使用新名称，勒索软件攻击者可以引导调查人员和网络安全专家进行徒劳的追逐，从而将资源从跟踪其实际操作中转移出来。这种误导可能会使防御者更难准确地将攻击归因于特定群体。
• 混乱和混乱：新名称可能会导致网络安全社区混乱。分析师最初可能会将重新命名的勒索软件视为一种全新的威胁，从而延迟全面的响应，并给攻击者带来造成损害的时间。
• 重建信任：如果特定的勒索软件菌株因即使在付款后也不提供解密密钥而享有盛誉，那么品牌重塑可以帮助攻击者显得更值得信赖。受害者可能相信这个“新”组织会兑现他们的赎金协议。
• 改变目标：勒索软件攻击者可能决定将注意力从一个行业或部门转移到另一个行业或部门。品牌重塑可以帮助创建一个更好地符合其所需目标受众的新形象。