wastdlocker是一种新的勒索软件,由通常被称为邪恶公司团伙的恶意软件开发团伙操作。就是跟他有关联的那个帮派Dridex.和比特皮尔。

该归属不是基于恶意软件变体,因为WastedLocker与BitPaymer非常不同。保存的是为不同目标添加特定模块的能力。

使用wastdlocker执行的攻击主要针对非常具体的组织。据怀疑,在第一次渗透尝试期间,主动防御的评估是做出的,下一次尝试将专门设计来绕过主动安全软件和其他周边保护。

勒索软件的名字来自它创建的文件名,其中包括受害者名字的缩写和字符串“wasted”。

对于每个加密文件,攻击者会创建一个包含ransomware笔记的单独文件。ransom note与添加“_INFO”的名称与关联文件相同。

赎金要求很高,从50万美元到1000多万美元的比特币不等。考虑到运营商尽一切努力获取任何备份,一些组织可能会觉得有必要付费。当其他勒索软件运营商将外泄甚至拍卖被盗数据加入他们的武器库时,邪恶公司团伙还没有表现出这方面的倾向。

从历史上看,邪恶集团的目标主要是美国组织,看起来他们还在继续前进,在欧洲也有一些受害者。据悉,该组织的主要成员是俄罗斯人。

离线备份的重要性

一般来说,我们可以说,如果这个团伙已经发现了进入您的网络的入口,则无法阻止它们加密至少一部分文件。如果您有的话,唯一可以帮助您在这种情况下挽救文件的唯一方法回滚技术或一种离线备份的形式。使用在线或以其他方式连接备份,您也会运行备份文件的加密的机会,这使得它们具有实际意义。请注意,回滚技术依赖于监控系统的过程的活动。危险存在这些过程将在勒索瓶帮派的目标列表中。意味着一旦他们访问网络,就会关闭这些过程。

正如你可能已经注意到的,这是一个非常复杂和高度目标类型的勒索软件。这意味着,考虑到赎金要求,大多数受影响的公司将有一个专门的网络安全部门。这些工作人员必须对这些攻击的早期预警信号保持警惕,这些信号可能由入侵企图显示出来。在后期阶段,可能会采取更多破坏性的操作,如禁用安全软件、删除文件和删除备份

与其他勒索软件运营商不同的是邪恶公司不会盗取数据发布或者拍卖这些数据属于不愿支付赎金的“客户”。

感染细节

迄今为止发现的一种方法是使用嵌入在现有网站中的假软件更新警报。

可以在现有网站上插入代码,显示误导信息以提示用户并让它们运行恶意软件。

这些网站的恶意软件是透过的测试和探索套件,旨在创建立足点并收集有关网络的信息。历史上邪恶的CORP已经有针对性的文件服务器,数据库服务,虚拟机和云环境。

一旦探索阶段完成,该团伙将丢弃受妥协系统上的赎金软件。

勒索软件本身是针对每个客户的自定义构建,因此通过完整分析,无法获得任何内容。攻击确实有一些常见,但我们将在这里讨论。

  • 删除阴影副本,这是Windows操作系统的默认备份。
  • 勒索软件的主要可执行文件被复制到系统文件夹并获得更高的权限
  • 创建一个在加密期间运行的服务。
  • 在加密期间,重命名加密的文件,并创建赎金笔记。
  • 创建一个日志文件,其中列出目标文件的数量、加密文件的数量以及由于访问权限问题而未加密的文件的数量。
  • 停止并删除服务。

概述

  • 自2020年5月以来,wastdlocker一直在积极部署。
  • 背后的邪恶集团:这个组织之前与Dridex恶意软件和BitPaymer(又名IEcrypt,又名FriedEx,又名wastdlocker)有关。
  • 邪恶公司一直在利用“废弃储物柜”要求数百万美元的赎金,有些要求甚至超过1000万美元。
  • WastedLocker在本集团的操作中替换BitPaymer。
  • 从技术上讲,wastdlocker和BitPaymer没有太多共同之处
  • ransomware名称派生自创建的文件名,其中包含受害者名称的缩写和字符串“浪费”。
  • 加密的文件扩展名是根据目标组织的名称以及前缀浪费设置的
  • 示例:test.txt.orgnamewasted(加密数据)和test.txt.orgnamewasted_info(ransomware note)
  • 没有数据盗窃,没有泄漏网站。
  • 每个勒索软件受害者都有一个为他们配置或编译的自定义构建。
  • 注包含:Protonmail和Tutanota电子邮件域,以及Eclipso和航空邮件地址。在勒索信息中列出的电子邮件地址是数字的——通常是5位数字。

感染了

  • 删除卷影副本
  • 复制勒索软件二进制文件到%windir%\system32,并获得它的所有权(takeown.exe /F filepath),并重置ACL权限。在其他情况下备用数据流(广告)用作运行赎金软件进程的手段。
  • 创建并运行服务。一旦加密进程完成,就会删除服务。

IOC

*浪费和* wasted_info filenames for加密文件和赎金笔记

赎金内容的基本布局注意:

* ORGANIZATION_NAME *
您的网络现在已加密
使用* email1 * | * email2 *得到您的数据的价格
不把这封邮件给第三方
不重命名或移动文件
该文件用以下密钥加密:
[begin_key] * [end_key]
收下

电子邮件地址通常是数字和5位数,一个在ProtonMail和Airmail的另一个数字,但我们还看到了Tutanota和Eclipso电子邮件地址。

必威平台APP伪安全检测

必威平台APPMalwareBytes检测WastedLocker Ransomware作为ransom.binads。

ransom.binads在星云中的检测

保持安全的人!