【糖衣陷阱】Dark Power低贖金策略 一萬美元換取勒索軟件解鎖方法
不少勒索軟件集團一旦成功入侵企業,一般都會獅子開大口,用解鎖電腦、檔案或公開盜竊的機密資料,向受害企業開出天價贖金。不過,網絡安全公司 Trellix 最新捕捉到 Dark Power 勒索軟件集團就反其道而行,就算使用的加密技術有不俗成功率,最終都只是開出約一萬美元贖金,用糖衣價錢令怕麻煩的企業屈服,好可能又會成為一股新潮流。
Dark Power 勒索軟件有多個獨特的地方,首先是它使用一種跨平台的程式語言 Nim 開發,在運行速度上具有多個優點,特別適合用於勒索軟件上。而且由於 Nim 在網絡犯罪世界中不屬於主流程式碼,因此具備較大的網絡安全工具檢測逃逸能力。
而在 Trellix 專家取得的病毒樣本中,他們發現 Dark Power 的執行程序及加密技術都可顯示集團成員有一定的入侵經驗,大大增加成功率。當勒索軟件被執行時,它首先會生成一個隨機的 64 元字符長度 ASCII 字符串,然後會開始終止受害者電腦上的特定服務和進程,例如編碼列表中的卷影複製服務(VSS)、數據備份服務和防毒軟件等,以減少鎖定資料過程會出現的障礙。
完成指示後,Dark Power 便會終止運作約半分鐘,同時開始清除 Windows 及電腦系統內的數據記錄,讓事後調查及回復數據變得困難。
之後,勒索軟件便會將生成的字符串變成哈希值後分為兩部分,上半部作為 AES 金鑰,下半部則用於解開金鑰的加密記號。為避免加密過程導致電腦無法重新啟動,Dark Power 還會避開 DLL、LIB、LNK、MSI 等重要檔案,確保受害企業可以讀取一個有八頁內容的 PDF 勒索訊息,解釋事件為何發生及如何通過 qTox 聯繫集團商討交付贖金事宜。
Trellis 安全專家指出,Dark Power 加密程式的編譯日期為一月尾,加上對方從未於任何地下討論區或暗網刊登廣告,所以相信現階段集團並未有提供 ransomware-as-a-Service 服務,單純是黑客自己進行勒索活動。現時集團在自家爆料暗網已刊登 10 個從受害企業取得的機密資料套件,如對方未在三日限時內交贖金,集團就會公開或轉售資料。
雖然這個價錢大部分受害企業都付得起,不過專家提醒受害企業即使交付贖金,也未必能取得解鎖方法或令對方銷毀數據,反而會讓對方認定可壓榨更多贖金,所以並不鼓勵企業就範。而且企業亦應盡快尋求安全專家協助,找出系統存在的漏洞,因為黑客在這次事故中或多或 少已掌握了企業所使用的軟硬件,日後除了可繼續利用同一手法入侵之餘,還可試用其他已知漏洞入侵。
相關文章:【小心打錯名】NuGet開源倉庫成放毒途徑 錄15萬次下載量
