圖片來源: 

SentinelOne

在勒索軟體的運作過程裡,往往要先藉由C&C中繼站接收指令才能執行,使得過往遇到相關攻擊時,許多人會先拔掉網路線來阻止事態變得更加嚴重,但這招可能對新的勒索軟體無效。因為,最近資安公司SentinelOne研究人員揭露,一款自去年12月出現於地下論壇的勒索軟體Zeoticus 2.0,就採用了這樣罕見的機制,這代表著受害電腦即使沒有連接網際網路,這款勒索軟體照樣會加密磁碟裡的檔案。

該公司也對該勒索軟體提供入侵指標(IoC),包含了檔案的SHA1與SHA256雜湊值,以及MITRE ATT&CK攻擊手法類別,以便網管人員加以防範。

研究人員指出,Zeoticus家族最早自2020年初,出現於地下論壇與市集銷售,而當時是以客製化的方式提供給買家。在這個系列推出的2.0版中,開發的駭客主打的就是能支援離線執行,而且可在所有的Windows作業系統運作。SentinelOne認為,該款勒索軟體應該能在Windows XP與更舊版本的視窗作業系統上執行。不過,Zeoticus 2.0在俄國、白俄羅斯、吉爾吉斯等國家不會運作。

除此之外,Zeoticus 2.0加密檔案的方法也很特別,同時包含了對稱加密演算法與非對稱加密演算法,而且是採用加密速度較快、較為少見的演算法。對稱加密演算法的部分,駭客運用了XChaCha20,並搭配非對稱加密演算法Poly1305、XSalsa20,以及Curve25519。受害電腦的檔案被加密後,檔案的副檔名會變成連繫駭客的電子郵件信箱,再加上2020END字串的組合。

而在Zeoticus 2.0完成檔案加密後,會在磁碟根目錄(如C:\WINDOWS)留下勒索訊息README.HTML,不像舊的1.0版以桌布來呈現連繫駭客的資訊。

  

研究人員截圖呈現Zeoticus 2.0版(左)與1.0版(右)勒索訊息的差異。我們可以看到左圖具備詳細的說明,包含提供購買比特幣的網址,以及為取信受害者,駭客提供免費解密1個檔案,但這個檔案必須小於1MB,而且僅限於特定文件與圖片檔案格式。

熱門新聞


Advertisement