研究发现,早期“三重勒索”软件SunCrypt至今仍然活跃
source link: https://netsecurity.51cto.com/article/705176.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
据Bleeping Computer消息,作为一种RaaS(勒索软件即服务),SunCrypt在2020年期间活动猖獗,虽然在这之后有所沉寂,但根据最新发现,该勒索软件目前仍不时处于活跃状态。
SunCrypt 是早期的“三重勒索”软件之一,包括文件加密、威胁发布被盗数据以及针对非付费受害者的 DDoS(分布式拒绝服务)攻击。尽管如此,SunCrypt在这之后并没有发展成为一个大型的RaaS组织,但根据Minerva Labs的一份报告,这种停滞并没有阻止SunCrypt不断更迭出新的版本。
在今年的版本中,SunCrypt的新功能包括终止进程、停止服务以及擦除设备数据执行勒索。这些功能在其它勒索软件中已经存在,因而就目前看来SunCrypt仍处在开发的早期阶段。
进程终止包括资源密集型进程,这些进程可以阻止对打开的数据文件进行加密,例如写字板(文档)、SQLWriter(数据库)和 Outlook(电子邮件);清理功能在加密例程结束时激活,使用两个 API 调用来擦除所有日志。清除所有日志后,勒索软件会使用 cmd.exe将自身从磁盘中删除。最新版本中保留的一个重要的旧功能是使用I/O完成端口,通过进程线程实现更快的加密。
清除事件日志的 API 调用
此外,SunCrypt继续对本地卷和网络共享进行加密,并且仍然保持着对Windows目录、boot.ini、dll文件、回收站和其他项目的允许列表。如果这些项目被加密,计算机将无法操作。
SunCrypt使用的最新版赎金票据
目前,SunCrypt的活动策略可能是针对高价值实体,并且将赎金支付的谈判保密,避免引起执法部门注意和来自媒体的报道。据悉,瑞士最大的连锁超市Migros已成为最新的受害者,该企业拥有超10万名员工。
综上,SunCrypt无疑是一个尚未破解的威胁,对其发展还需要进行密切的观察。
参考来源:https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK