Bleeping Computer 网站披露，威胁攻击者正在黑客论坛上推广新版本 Redeemer（救赎者）勒索软件构建器，为低级别网络攻击者免费提供了一个轻松进入勒索软件世界的机会。

勒索软件运营者透露，新版本完全采用 C++ 编写，可在 Windows Vista、7 以上版本运行，具有多线程性能和中等 AV 检测率。

与许多勒索软件即服务 (RaaS) 的操作不同，新版本支持所有人下载使用救赎者勒索软件构建器来发起自己的网络攻击。当受害者决定支付赎金时，攻击发起者会分享主密钥与关联公司持有的私有构建密钥进行解密。

此外，新版本勒索软件中还提供了一个图形用户界面，主要用于构建勒索软件可执行文件和解密工具，相关的使用说明都包含在了 ZIP 中。值得一提的是，勒索软件运营商表示，新版本未来可能会像 Redeemer 1.0 版本一样，公开发布源代码。

Redeemer 的创建者在黑客论坛上推广该项目

救赎者 2.0 详细介绍

据悉，新版本勒索软件构建器新增了几个功能，例如支持 Windows 11、GUI 工具以及类似 XMPP 和Tox Chat 等通信选项。

此外，新版本救赎者勒索软件还有一个活动 ID 跟踪系统，可以将数据添加到可执行文件中，允许攻击者跟踪其可能正在进行的各种活动。

受害者支付的赎金数额是在构建可执行文件的过程中设定的，并与特定的 ID 相对应，勒索软件供应商不能向攻击发起者任意索赔。

Redeemer 勒索软件 GUI 构建器

运营商在黑暗网站 Dread 上创建了一个页面，供联盟成员获取工具包，建立沟通，获取指示，并获得支持。

2.0 版本公告

Cyble 的研究人员对新版本进行了详细分析并在报告中表示，新版本勒索软件在启动时会创建了一个互斥锁，以避免在受害者系统上有多个运行实例，并理员权限滥用 Windows APIs。

在开始加密之前，恶意软件会滥用 Windows 命令来清除事件日志，并删除任何系统状态的备份，从而阻止受害者轻松/免费恢复。下面显示的进程被终止，以防止危害加密过程，并释放所有的目标文件和数据使其可被加密。

加密前终止的进程（Cyble）

之后，勒索软件会为 Windows 放置一个自定义图标，用于加密文件的扩展名，生成赎金声明，并列出所有文件和目录。

赎金票据

Bleeping Computer 独立测试了新版本勒索软件，发现其在加密后并没有删除所有文件，因此它的操作现在看来是不可靠的。

加密文件以及一些原件

当受害者试图打开其中一个加密的副本时，会收到一条消息，指示其打开赎金声明以获取有关操作的详情信息。

打开加密文件时出现的错误信息

该勒索软件还在 Winlogon 注册表项中添加了勒索注释，以警告用户重启系统的话，可能发生的情况。

系统重启期间显示的赎金记录（Cyble）

新版本勒索软件值得警惕吗？

像“救赎者”这样的勒索软件，大幅降低了网络犯罪分子（包括技能低的攻击者），进入勒索软件领域的门槛。

虽然这些低级别的攻击者一般缺乏在有价值的公司网络上找到初始接入点的技能，但仍然可能对许多重要但保护不足的实体造成重大损害，例如医疗保健和小型企业，仍然值得我们警惕！

参考文章：

https://www.bleepingcomputer.com/news/security/new-redeemer-ransomware-version-promoted-on-hacker-forums/