ProLock勒索軟件操作員將錯誤的解密器發送給支付贖金的受害者

ProLock Ransomware Faulty Decryptor

眾所周知,並非所有勒索軟件都是一樣的。一些家庭是由經驗不足的年輕黑客編寫的,他們從開放存儲庫中藉用了大部分代碼。通常,它們在實施單個組件時會犯錯誤,最終會導致勒索軟件樣本,而這些樣本不會構成太大的威脅。相比之下,其他文件加密惡意軟件家族是由擁有幾乎無限數量資源的複雜黑客團隊設計和構建的。

ProLock是勒索軟件領域中一個相對較新的名稱。在過去的幾個月中,它一直佔據著頭條新聞,很有趣的是,它是否是更複雜的威脅之一,或者是否由一群業餘愛好者將其組合在一起。

ProLock –嚴重威脅各種規模和規模的組織

Sophos的研究人員最近決定對ProLock進行仔細研究,因為其中一個客戶受到了ProLock的打擊。顯而易見,這不是所謂的腳本小子的工作。

在Sophos調查的攻擊案例中,最初的進入點是黑客利用的,配置不良的RDP服務器。在使受害者受到威脅之後,他們收集了有關所處網絡的更多信息,後來他們使用了被盜憑據列表在其中移動。實際的勒索軟件操作始於在主機的%ProgramData%文件夾中放置四個文件。

有一個BMP圖像,一個XML文件和幾個批處理文件。第一個批處理文件使用XML文檔中設置的參數設置計劃的任務。計劃任務運行第二個批處理文件,該文件反過來提取使用隱寫術在BMP映像中編碼的勒索軟件有效載荷。

在加密數據之前,ProLock終止某些過程,以確保在加密階段打開的文件較少。完成對信息的加密後,ProLock會丟棄贖金記錄,並附帶一個用戶ID和指向Tor託管的網站的鏈接,受害者可以在其中獲得有關黑客要求的更多信息。

到目前為止,所有內容看起來都非常專業且先進。然而,當研究人員查看一些樣本時,他們發現儘管部分代碼是針對個別受害者定制的,但用戶ID是硬編碼的,並且不是唯一的。真奇怪但是,更奇怪的是ProLock加密文件的方式。

ProLock的解密器不起作用

ProLock不會加密小於8KB的文件。對於更大的文件,它將以第九千字節開始加密過程。結果,如果打開一個勒索軟件已經加密的文件,您將看到它的前幾部分保持可讀形式。

Sophos的研究人員認為,這就是ProLock的解密器不起作用的原因。一段時間以來,已經有ProLock操作員提供錯誤的解密程序的報告,但這是我們第一次看到對該問題的技術解釋。 Sophos的報告表明,安全專家可能只在修改了錯誤的解密器後才能夠檢索數據,但他們指出這並不便宜。

這是為什麼您不應該與網絡犯罪分子做生意的又一證明。但是,既然我們都知道問題出在哪裡,那麼ProLock操作員修復該問題的可能性有多大?

ProLock幫會修復他們的解密器嗎?

從現在開始,可能不願進行簡單的Google搜索的潛在受害者將知道,即使他們支付了贖金,他們也可能無法取回數據。他們合作的可能性較小,您可能會認為這可能使勒索軟件操作員更新其加密機制並解決該問題。問題是,解密器是否起作用對他們沒有多大影響。

由於公司現在保留其數據的備份,因此在勒索軟件遭到攻擊時,支付贖金不再是檢索數據的唯一方法。去年,針對組織的網絡犯罪團伙意識到他們需要第二個勒索點,他們開始在加密信息之前先竊取信息。這樣,當受害者拒絕支付解密器費用時,騙子就可能威脅洩漏大量敏感數據。許多勒索軟件人員已經做到了這一點,現在我們開始看到它可以工作了。

Sophos的報告說,ProLock幫派尚未採用該策略,但確實指出他們可以隨時執行此策略。可能受到此特定勒索軟件攻擊的組織應意識到威脅,並必須採取必要的預防措施來加強其網絡。

July 30, 2020

發表評論