Chaos 惡意軟件被錯誤地宣傳為 Ryuk Clone

安全研究人員一直在挑選一種新的惡意軟件，他們現在稱之為 Chaos。該惡意軟件在他們的視線中已經有一段時間了，於 2021 年 6 月首次被發現，看起來它背後的壞人正在換檔並準備在野外首次推出它。

到目前為止，Chaos 還沒有被用於主動攻擊或威脅活動，但似乎這一刻並不太遠。開發它並在暗網論壇上發布更新的黑客一直在加快他們的更新計劃，而 Chaos 可能很快就會準備好進行第一次野外旅行。該惡意軟件在短短兩個月內經歷了四次重大更新。

與趨勢科技合作的研究人員分析了 Chaos，並發現了一些有趣的事情。對於可能很快就會出售給其他嶄露頭角的黑客的產品，Chaos 做了很多謊言。首先，它假裝是臭名昭著的 Ryuk 勒索軟件的分支，但使用 .NET 編碼。這甚至在包含筆記和加密錢包字符串的贖金屏幕上也有路標。

然而，當趨勢科技研究員 Monte de Jesus 剖析惡意軟件的內部結構時，事實證明事實並非如此。 Chaos 的運行方式使其更類似於“破壞性木馬”，而不是常規勒索軟件。

在加密文件之前，Chaos 會用隨機字節替換它們的內容。這實際上意味著即使受害者確實支付了贖金並獲得了解密密鑰，他們也會簡單地將他們的文件解密為大量隨機數據。

對工具包 Chaos 的一個奇怪的補充，除了它的擦除器屬性之外，是它能夠傳播到連接到受害系統的任何和所有驅動器。這是一個問題，因為這種蠕蟲能力還涵蓋可移動驅動器。

惡意軟件的贖金記錄稱為“read_it.txt”。在其中，Chaos 要求提供超過 6000 美元的比特幣。

隨著惡意軟件的更新，它慢慢開始表現得更像傳統勒索軟件。逐步更新引入了正確加密小文件的能力，而不會首先破壞其中的原始數據。然而，即使在最新的迭代中，Chaos 也不是一個成熟的、適當的勒索軟件。隨著其背後的黑客進一步開發它，這種情況可能會發生變化。然而，這並沒有減少 Chaos 作為破壞性數據擦除工具所帶來的危險。