手段不斷升級(jí)!新的惡意軟件Chaos兼具勒索軟件和擦除器功能

這種危險(xiǎn)的惡意軟件自6月以來(lái)發(fā)展迅速，可能很快就會(huì)被釋放到野外。

目前發(fā)現(xiàn)了一種名為Chaos的正在建設(shè)中的惡意軟件，它正在地下論壇上做廣告宣傳可供測(cè)試。盡管它自稱為勒索軟件，但一項(xiàng)分析表明實(shí)際上更像是一個(gè)擦除器。

Chaos自6月開始存在并不斷更新

根據(jù)趨勢(shì)科技研究員Jesus的說(shuō)法，Chaos自6月以來(lái)一直存在，并且已經(jīng)循環(huán)了四個(gè)不同的版本，最后一個(gè)版本于8月5日發(fā)布。這種快速發(fā)展可能意味著它很快就會(huì)為黃金時(shí)段做好準(zhǔn)備，但到目前為止沒有用于實(shí)際攻擊。

Chaos 一開始聲稱是Ryuk 勒索軟件的 .NET 版本——它一直在使用一個(gè)詭計(jì)，在其 GUI上加上Ryuk品牌。然而，Jesus稱，在其第一個(gè)版本的引擎蓋下看，幾乎沒有發(fā)現(xiàn)這種所謂的痕跡。相反，該樣本“更像是一種破壞性的木馬，而不是傳統(tǒng)的勒索軟件” 。

他補(bǔ)充說(shuō)：“它沒有加密文件(然后可以在目標(biāo)支付贖金后解密)，而是用隨機(jī)字節(jié)替換文件的內(nèi)容，之后文件以Base64編碼。這意味著無(wú)法再恢復(fù)受影響的文件，使受害者沒有動(dòng)力支付贖金?！?/p>

這個(gè)版本Chaos的其他技巧

“Chaos 1.0版的一個(gè)更有趣的功能是它的蠕蟲功能，這允許它傳播到受影響系統(tǒng)上的所有驅(qū)動(dòng)器，”Jesus寫道?！斑@可能允許惡意軟件跳到可移動(dòng)驅(qū)動(dòng)器上并逃離氣隙系統(tǒng)?！?/p>

安裝后，第一個(gè)版本的Chaos會(huì)搜索各種文件路徑和擴(kuò)展名以進(jìn)行感染，然后釋放一個(gè)名為read_it.txt 的勒索軟件說(shuō)明，要求 0.147 比特幣，按今天的匯率計(jì)算約為 6,600美元。

同時(shí)，第二個(gè)版本增加了管理員權(quán)限的高級(jí)選項(xiàng)、刪除所有卷影副本和備份目錄的能力，以及禁用Windows 恢復(fù)模式的能力。

“然而，2.0 版本仍然覆蓋了它的目標(biāo)文件，” Jesus說(shuō)?！鞍l(fā)布該文件的論壇成員指出，如果無(wú)法恢復(fù)受害者的文件，他們將不會(huì)支付贖金?！?/p>

Chaos在3.0版本中變得更像勒索軟件，因?yàn)樘砑恿思用芄δ?。?jù)研究人員稱，該樣本能夠使用AES/RSA加密對(duì)1 MB以下的文件，并具有解密器構(gòu)建器。

然后，在八月初，論壇上出現(xiàn)了Chaos的第四次迭代，擴(kuò)展了AES/RSA加密功能?，F(xiàn)在，可以加密最大2MB的文件。而且根據(jù)分析，運(yùn)營(yíng)商可以像其他勒索軟件一樣，使用自己的專有擴(kuò)展名附加加密文件。它還提供了更改受害者桌面壁紙的功能。

勒索軟件數(shù)量持續(xù)增加

根據(jù)最近的一份報(bào)告，到2021年為止，勒索軟件一直在增加。今年前六個(gè)月的全球攻擊量與去年同期相比增長(zhǎng)151% 。與此同時(shí)，聯(lián)邦調(diào)查局警告說(shuō)，現(xiàn)在全世界有100種不同的“菌株”在傳播。報(bào)告發(fā)現(xiàn)，在野外部署最多的勒索軟件是Ryuk，這可以解釋Chaos 的作者試圖乘機(jī)攻擊的原因。

目前，Chaos“勒索軟件”顯然仍在建設(shè)中，因此新版本可能即將出現(xiàn)。例如，它缺乏幾乎所有主要勒索軟件家族現(xiàn)在都具備的數(shù)據(jù)泄露功能，無(wú)法進(jìn)行雙重勒索，但不確定什么時(shí)間這一疏忽會(huì)得到糾正。從本質(zhì)上講，Chaos如果落入壞人手中會(huì)很危險(xiǎn)，如落到可以訪問惡意軟件分發(fā)和部署基礎(chǔ)設(shè)施的惡意行為者手中，它可能對(duì)組織造成巨大損害。

惡意軟件瘋狂增長(zhǎng)的數(shù)量警示我們，看似平靜的網(wǎng)絡(luò)空間下隱藏著巨大的危險(xiǎn)。尤其隨著數(shù)字時(shí)代的來(lái)臨，數(shù)據(jù)已成為社會(huì)運(yùn)轉(zhuǎn)和人們便捷生活重要的基礎(chǔ)保障。網(wǎng)絡(luò)安全的核心問題是保護(hù)數(shù)據(jù)。提高軟件自身安全性，是現(xiàn)有網(wǎng)絡(luò)防護(hù)手段的重要補(bǔ)充，同時(shí)也是減少數(shù)據(jù)丟失的基礎(chǔ)防線。

加強(qiáng)軟件安全不但需要強(qiáng)化外部安全防御措施，同時(shí)也要關(guān)注軟件自身安全。在軟件開發(fā)時(shí)不斷檢測(cè)修復(fù)代碼缺陷，是減少數(shù)據(jù)丟失的重要手段!如靜態(tài)代碼檢測(cè)可以有效查找代碼語(yǔ)義、語(yǔ)法缺陷和運(yùn)行時(shí)漏洞，有助于開發(fā)人員第一時(shí)間查找定位問題代碼確保軟件的安全性，在研發(fā)階段開始找到并修復(fù)多種問題，節(jié)省大量時(shí)間人力成本。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?1&id=7643993c3d124edb9472f71713417764

https://threatpost.com/chaos-malware-ransomware-wiper/168520/