freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Sirattacker 和 ALC 勒索软件浮出水面
2023-03-08 23:12:00
所属地 北京

Sirattacker 勒索软件

Sirattacker 勒索软件是 Chaos 勒索软件的变种之一。Chaos 在 2023 年 2 月中旬被首次发现,地下论坛中提供了多个版本的 Chaos 勒索软件构建工具,任何人都可以使用自定义的配置生成 Chaos 勒索软件。

感染载体

Sirattacker 勒索软件很可能是冒充以太坊挖矿应用程序进行分发,因为所有样本文件都包含一个以太坊的图标。

image.png-61.7kB样本文件图标

上周,研究人员披露了一个名为 Bruh 的 Chaos 勒索软件变种,也是伪装成加密货币挖矿应用程序。尽管 Sirattacker 勒索软件与 Bruh 勒索软件之间没有明显的联系,但这仍然是一个引人注意的巧合。

执行

一旦 Sirattacker 勒索软件被执行,就会开始加密失陷主机的文件,并在文件名中添加随机四个字母的文件扩展名。一些较旧的 Chaos 勒索软件变种会使用随机字节覆盖大于 2117152 字节的文件,这样文件就无法恢复了。在某些情况下,尽管攻击者清楚文件无法恢复,仍然也会要求受害者支付赎金。幸运的是,Sirattacker 勒索软件似乎是使用新版本的 Chaos 勒索软件生成工具生成的,较大的文件会被加密而不是覆盖。

image.png-129.3kB加密的文件

文件加密后,Sirattacker 会显示勒索信息:

image.png-733.5kB勒索信息

勒索软件会用自带的图片替换桌面壁纸,图片显示的信息与勒索信息几乎相同,要求受害者通过电子邮件与攻击者进行联系。

image.png-810.6kB壁纸替换

Sirattacker 勒索软件攻击者使用的比特币钱包里目前没有余额,2023 年 2 月 24 日还对外进行转账。但该钱包地址曾经持有高达 538.57 比特币,价值超过 1200 万美元。

image.png-126.2kB比特币钱包交易记录

过去的几个月中,攻击者进行了大量的转入、转出操作。2023 年 2 月 24 日,攻击者转入了价值 35.13 美元的比特币,稍后又将其转移到另一个钱包中。

image.png-75.4kB转入交易记录

image.png-73.3kB转出交易记录

没有证据表明这些交易与 Sirattacker 勒索软件有关,但应该表明 Sirattacker 勒索软件背后的攻击者一直在积极参与各种违法活动。

ALC 勒索软件

ALC 是最近被发现的勒索软件,以在勒索信息中提到“俄罗斯以及同伙”而闻名,但该勒索软件并不是看起来那么简单。

感染载体

目前未发现该勒索软件使用的感染载体,但与其他勒索软件应该并无太大差异。

执行

一旦 ALC 勒索软件执行,就会在桌面上创建多个文件。请注意,某些 ALC 勒索软件并不会创建下图中的 AlcDif.exe 文件。

image.png-140kB桌面截图

RUS!.txt 是勒索信息,根据拼写猜测作者并不是以英语为母语的人。勒索信息中提到,攻击者主要针对“俄罗斯与其同伙”。攻击者要求受害者通过 Telegram 与攻击者联系,但并没有指出赎金价格。

image.png-68.9kB勒索信息

一些 ALC 勒索软件样本还会创建一个名为 AlcDif.exe 的可执行文件,用于创建更复杂的勒索信息。AlcDif.exe 显示的勒索信息如下所示:

image.png-243.8kB勒索信息

与文本文件中的勒索信息不同,这次的勒索信息十分详细,提供了联系攻击者的地址、钱包地址、赎金价格与受害者 ID。尽管二维码下方指出赎金两千美元,但实际上攻击者勒索 554 门罗币(价值约为 8 万美元)。

image.png-116kB支付二维码

ALC 勒索软件其实并不加密任何文件,其应该是恐吓类恶意软件。勒索软件尽管携带了相关的公钥与私钥,但并未使用。并且只会遍历文件列表,单独保存到文本文件中。由于恶意软件并不会真的加密文件,要么是攻击者试图从受害者处进行诈骗,要么是恶意软件仍然处于测试阶段。

image.png-55.9kB包含 AES 密钥的的 ALCKEY 文件

IOC
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参考来源

Fortinet

# 勒索软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录