日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

[[376158]]

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供紅河企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、網(wǎng)站制作、H5開(kāi)發(fā)、小程序制作等業(yè)務(wù)。10年已為紅河眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

新年剛過(guò)沒(méi)幾天，人們就發(fā)現(xiàn)了2021年的第一批新型勒索軟件。根據(jù)最新的研究，到目前為止，一個(gè)名為Babuk Locker的勒索軟件似乎已經(jīng)成功入侵了五家公司。

研究人員是佐治亞理工學(xué)院的計(jì)算機(jī)科學(xué)學(xué)生Chuong Dong，他說(shuō)，他是在推特上一位名叫 "Arkbird "的安全研究人員的推文中第一次看到這個(gè)勒索軟件的。隨后，他在一個(gè)分享漏洞和泄密數(shù)據(jù)庫(kù)的論壇RaidForums上發(fā)現(xiàn)了Babuk的相關(guān)信息。

Dong表示，根據(jù)Babuk勒索說(shuō)明中提到的網(wǎng)站，以及RaidForums泄露的有關(guān)信息，可以證明該勒索軟件已經(jīng)成功入侵了全球五家不同的公司。根據(jù)BleepingComputer的報(bào)告，這些受害公司其中至少有一家已經(jīng)同意支付8.5萬(wàn)美元的贖金。

Dong說(shuō)：

• 雖然Babuk有很多不成熟的攻擊特性，但它也有非常多新穎的技巧，特別是在加密和利用Windows功能方面。

Dong在本周的分析中說(shuō)：

• Babuk是一種新型的勒索軟件，始于今年年初，盡管采用了很不規(guī)范的編碼手法，但其利用橢圓曲線Diffie-Hellman算法的強(qiáng)加密方案，從目前的結(jié)果來(lái)看，確實(shí)是對(duì)很多公司的攻擊是有效的。

Babuk的特征

該勒索軟件是以32位.EXE文件的形式出現(xiàn)的，很明顯它沒(méi)有做混淆加密保護(hù)。目前也還不清楚該勒索軟件最初是如何傳播給受害者的。

Dong告訴Threatpost：

• 到目前為止，我們還不知道勒索軟件是如何進(jìn)入公司的，但很有可能是勒索軟件集團(tuán)通過(guò)網(wǎng)絡(luò)釣魚(yú)這一途徑實(shí)現(xiàn)的。

在被勒索軟件加密前，Babuk中包含的服務(wù)和進(jìn)程列表中所對(duì)應(yīng)的進(jìn)程和服務(wù)都會(huì)被關(guān)閉。其中包括各種系統(tǒng)監(jiān)控服務(wù)，比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在進(jìn)程方面，Babuk會(huì)終止31個(gè)進(jìn)程，包括sql.exe，oracle.exe和outlook.exe。

Dong向Threatpost解釋說(shuō)：

• 關(guān)閉應(yīng)用程序?qū)τ诠魜?lái)說(shuō)是很有必要的，因?yàn)楫?dāng)勒索軟件運(yùn)行時(shí)，這些應(yīng)用程序可能會(huì)打開(kāi)文件，如果一個(gè)應(yīng)用程序已經(jīng)打開(kāi)了一個(gè)文件，勒索軟件就不能在次打開(kāi)它，那么攻擊就會(huì)失敗。

加密方式

值得注意的是Babuk采用的加密機(jī)制：它在攻擊中使用自己實(shí)現(xiàn)的SHA哈希、ChaCha8加密和橢圓曲線Diffie-Hellman(ECDH)密鑰生成交換算法來(lái)對(duì)文件進(jìn)行加密，這使得受害者幾乎不可能將文件進(jìn)行恢復(fù)。

Dong說(shuō)：

由于ECDH的機(jī)制，勒索軟件作者可以使用自己的私鑰和受害者的公鑰生成共享秘鑰來(lái)解密文件，這使得受害者不可能自行解密文件，除非他們能夠在惡意軟件完成加密之前找到生成的隨機(jī)私鑰。

Sophos研究人員表示：

Babuk還使用了多線程。為了能讓進(jìn)程并行執(zhí)行，提高系統(tǒng)利用率，許多計(jì)算機(jī)中都包含一個(gè)或多個(gè)多核的CPU。像Babuk這樣可以利用多線程的勒索軟件，能夠?qū)蝹€(gè)任務(wù)并行化，以確保在受害者發(fā)現(xiàn)他們受到攻擊之前，可以造成更大的破壞。

不過(guò)，Dong表示，該勒索軟件的"多線程方法非常簡(jiǎn)單"。

他說(shuō)，首先，它的多線程進(jìn)程會(huì)使用遞歸來(lái)遍歷文件。這個(gè)過(guò)程會(huì)從最高目錄(例如C://驅(qū)動(dòng)器)的一個(gè)線程開(kāi)始，在主加密功能中，程序?qū)⒈闅v父目錄中的每一個(gè)項(xiàng)目。如果找到了一個(gè)文件，它就會(huì)對(duì)其進(jìn)行加密。如果發(fā)現(xiàn)是一個(gè)新的目錄，這個(gè)過(guò)程將以該目錄為父目錄再次調(diào)用主加密函數(shù)，然后遍歷該文件夾。這個(gè)過(guò)程會(huì)持續(xù)多層，直到Babuk遍歷了每一個(gè)文件夾和文件。

Dong告訴Threatpost：

• 這是勒索軟件的基本操作方法，那些開(kāi)發(fā)惡意軟件的人通常會(huì)使用這個(gè)方法，這個(gè)想法雖然很好，但要考慮到一個(gè)正常系統(tǒng)中至少有10000個(gè)文件，這又是一個(gè)很大的工作量。

勒索軟件要產(chǎn)生的線程數(shù)量通常是將受害者機(jī)器上的核心數(shù)量增加一倍，然后再分配一個(gè)數(shù)組來(lái)存儲(chǔ)所有的線程句柄。

Dong說(shuō)：

每個(gè)進(jìn)程都有可能創(chuàng)建大量的線程，然而，在理想的情況下，每個(gè)處理器最好只運(yùn)行一個(gè)線程，以避免在加密過(guò)程中，線程之間相互競(jìng)爭(zhēng)處理器的時(shí)間和資源。

Dong補(bǔ)充說(shuō)，相比之下，Conti勒索軟件就正確地利用了多線程方法，它使每個(gè)處理器核心運(yùn)行一個(gè)線程。它的加密速度非?？?，只需不到30秒就可以加密C://驅(qū)動(dòng)器。

Windows Restart Manager

Babuk還利用了微軟的Windows Restart Manager功能，它能使用戶關(guān)閉和重啟所有應(yīng)用程序和服務(wù)。勒索軟件利用的這一功能可以終止任何正在使用文件進(jìn)程。Dong表示，這可以確保沒(méi)有任何東西能阻止惡意軟件加密文件。

此前，其他常見(jiàn)的勒索軟件也曾利用過(guò)Windows Restart Manager，包括Conti勒索軟件(在2020年7月的一次攻擊中被發(fā)現(xiàn))和REvil勒索軟件(在2020年5月的新版本中被發(fā)現(xiàn))。

一旦所有文件被加密，Babuk的勒索信息就告訴受害者他們的計(jì)算機(jī)和服務(wù)器已經(jīng)被加密，并要求受害者使用Tor瀏覽器與他們聯(lián)系。

Tripwire安全研究高級(jí)總監(jiān)Lamar Bailey在一封電子郵件中說(shuō)：

• 然而，如果受害者打算支付贖金，他們必須要在聊天過(guò)程中上傳文件，以便讓黑客解密文件，我預(yù)計(jì)解密的失敗率會(huì)相當(dāng)高。他們會(huì)賺錢(qián)嗎?當(dāng)然會(huì)。但就像許多社會(huì)潮流一樣，過(guò)不了幾個(gè)月就不流行了，他們并不會(huì)長(zhǎng)期的獲取大量資金。

新的勒索軟件是在勒索軟件攻擊持續(xù)上升的情況下出現(xiàn)的。自2018年以來(lái)，勒索軟件攻擊數(shù)量猛增了350%。在過(guò)去的一年里，醫(yī)療系統(tǒng)受到勒索軟件攻擊的情況尤為嚴(yán)重，最近的一份報(bào)告稱，自11月份以來(lái)，針對(duì)醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)攻擊增加了45%。

本文翻譯自： https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若轉(zhuǎn)載，請(qǐng)注明原文地址。

 

網(wǎng)站欄目：新的一年，新型勒索軟件BabukLocker開(kāi)始針對(duì)大型企業(yè)進(jìn)行攻擊
本文來(lái)源：http://www.5511xx.com/article/djidjep.html