勒索软件往往以组织为目标。企业不仅拥有大量有价值的数据,它们的运作离不开这些数据,而且还需要支付相当多的赎金来换取加密文件。在企业努力应对攻击的同时,勒索软件组织却让普通消费者相对不受影响——直到现在。

糖勒索软件,一种新的变种最近被沃尔玛安全团队发现,是一个ransomware-as-a-service(老城)它的目标是单台电脑和(可能的)小型企业。Sugar也被许多人称为Encoded01,自2021年11月以来一直在运营。

电脑发出哔哔声笔记沃尔玛安全团队从一个属于勒索软件分支机构的网站获得了“Sugar”这个名字:sugarpanel.space

与许多勒索病毒菌株一样,作者并没有在他们的注释中有所保留,这些注释被丢弃到系统中BackFiles_encoded01.txt:

什么发生?[+]您的文件已加密,目前不可用。你可以检查一下:你系统上的所有文件都有扩展名。encoded01。顺便说一下,一切都可以恢复,但您需要按照我们的指示进行。否则,你不能返回你的数据(永远)。[+]什么保证?[+]这只是一门生意。我们绝对不关心你和你的交易,除了获得利益。如果我们不做好自己的工作和责任,没有人会不和我们合作。这不符合我们的利益。 To check the ability of returning files, You should go to our website. There you can decrypt 1-5 files for free. That is our guarantee. If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money. [+] How to get access on website? [+] You can open our site by the shortcut "SUPPORT (TOR_BROWSER)" created on the desktop. Also as the second option you can install the tor browser: a) Download and install TOR browser from this site: https://torproject.org/ b) Open our website. Full link will be provided below. ---------------------------------------------------------------------------------------------- !!! DANGER !!! DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions- ints may entail damge of the private key and, as result, THE Loss all data. !!! !!! !!! ONE MORE TIME: Its in your interest to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere. !!! !!! !!! ---------------------------------------------------------------------------------------------- Your ID: {redacted}

它是如何工作的

一旦执行,Sugar连接到两个url,whatismyipaddress.com而且ip2location.com,以识别设备的IP地址和地理位置。然后它会下载一个76MB的文件,这个文件的用途目前还不清楚。

然后糖连接到它指挥与控制(C2)服务器,它在那里传输和接收与攻击相关的数据。然后加密位于以下文件夹中的文件:

  • 引导\ \
  • \ \司机
  • \ PerfLogs \
  • \ temp \
  • \ windows \

但是,它避免了以下文件:

  • . exe
  • . dll
  • 。系统
  • .lnk
  • 。bat
  • .cmd
  • .ttf
  • . manifest
  • .ttc
  • . cat
  • msi;
  • BOOTNXT
  • bootmgr
  • 页面文件

文件使用SCOP加密算法加密,这是一种流密码由西蒙·马尔切夫和彼得·安东诺夫于1997年创建适用于奔腾处理器,但在其他32位处理器上运行也非常快。此外,根据Maltchev的研究,修改SCOP以创建针对64位处理器优化的密码是很容易的,目前大多数机器都在运行64位处理器。修改后的密码速度会翻倍。

Sugar也被称为Encoded01,因为这是它附加到已加密文件名称的扩展名。例如,对一个文件进行编码后调用1. jpg,生成的文件名现在是1. jpg.encoded01

糖加密文件(马塞洛·里韦罗提供)

勒索软件将受害者指向一个Tor网站,该网站包含一个页面,上面写着他们必须支付的比特币金额,他们可以使用聊天功能与网络罪犯谈判,并提供免费解密五个文件的服务。

受害者的个人Tor勒索网站截图(由Marcelo Rivero提供)

根据BleepingComputer,根据Sugar成功加密的文件数量自动生成赎金金额。金额往往是相对负担得起的,通常是几百美元,这使得人们更有可能掏出现金来购买他们的文件。

借来的内容

一些研究人员已经注意到Sugar与其他勒索软件家族的相似之处。例如,勒索信让人联想到REvil的勒索信。

REvil的赎金通知(来源:Malwarebytes)必威平台APP

另一方面,受害者看到的Tor站点与Cl0p在攻击中使用的页面非常相似。

Cl0p的Tor网站给他们的受害者(来源:沃尔玛安全团队)

如何保护自己免受勒索软件的侵害

我们还不知道糖是如何进入系统的。因此,一如既往,无论我们在网上做什么,我们都应该继续保持警惕。

  • 让你的系统保持最新。网络罪犯利用已知的漏洞来感染计算机。确保一旦补丁可用,你就应用它们,无论是针对你的操作系统、应用程序还是浏览器。
  • 备份你的文件.如果你感染了勒索软件,你会想要得到那些备份。确保您离线备份到攻击者无法到达的地方。
  • 不要重复使用你的密码,并确保为每个账户选择安全的密码。密码管理器可以提供帮助。
  • 小心社交媒体、电子邮件、网络游戏或其他任何地方的主动信息。永远不要点击邮件中发送的链接,永远不要在以这种方式发送给您的文档中启用宏。
  • 确保所有电脑都有安全保护。(必威平台APP能帮上忙。)

Malwarebytes的当前用户必威平台APP受到Sugar/Encoded01勒索软件的保护。我们检测到赎金。Encoded01

保持安全!

这篇文章更新到包括Malwarebytes产品检测。必威平台APP