据Bleeping Computer消息,作为一种RaaS(勒索软件即服务),SunCrypt在2020年期间活动猖獗,虽然在这之后有所沉寂,但根据最新发现,该勒索软件目前仍不时处于活跃状态。
SunCrypt 是早期的“三重勒索”软件之一,包括文件加密、威胁发布被盗数据以及针对非付费受害者的 DDoS(分布式拒绝服务)攻击。尽管如此,SunCrypt在这之后并没有发展成为一个大型的RaaS组织,但根据Minerva Labs的一份报告,这种停滞并没有阻止SunCrypt不断更迭出新的版本。
在今年的版本中,SunCrypt的新功能包括终止进程、停止服务以及擦除设备数据执行勒索。这些功能在其它勒索软件中已经存在,因而就目前看来SunCrypt仍处在开发的早期阶段。
进程终止包括资源密集型进程,这些进程可以阻止对打开的数据文件进行加密,例如写字板(文档)、SQLWriter(数据库)和 Outlook(电子邮件);清理功能在加密例程结束时激活,使用两个 API 调用来擦除所有日志。清除所有日志后,勒索软件会使用 cmd.exe将自身从磁盘中删除。最新版本中保留的一个重要的旧功能是使用I/O完成端口,通过进程线程实现更快的加密。
清除事件日志的 API 调用
此外,SunCrypt继续对本地卷和网络共享进行加密,并且仍然保持着对Windows目录、boot.ini、dll文件、回收站和其他项目的允许列表。如果这些项目被加密,计算机将无法操作。
SunCrypt使用的最新版赎金票据
目前,SunCrypt的活动策略可能是针对高价值实体,并且将赎金支付的谈判保密,避免引起执法部门注意和来自媒体的报道。据悉,瑞士最大的连锁超市Migros已成为最新的受害者,该企业拥有超10万名员工。
综上,SunCrypt无疑是一个尚未破解的威胁,对其发展还需要进行密切的观察。