在過去的幾個月裏,有新聞報道稱,一家頗受歡迎的啤酒廠遭到了勒索軟件的***,而與此同時,一個主要的海港也遭遇了同樣的問題,導致進出港口的船只受到影響。調查顯示,這兩起案件的罪魁禍首都是Dharma(也稱CrySiS)勒索軟件。
事實上,有很多Dharma勒索軟件變種在短時間內出現,伴隨而來的是一些新的擴展名,如.bip和.combo,以及最近的.gamma。
FortiGuard Labs表示,他們近幾年來一直在追蹤Dharma勒索軟件家族。雖然Dharma勒索軟件仍在繼續大肆傳播,但***者實際上並沒有更新他們的操作模式,仍繼續依賴於一種已經被公開披露的策略來尋找並感染新的受害者,即利用RDP遠程桌面服務來實現對目標網絡的訪問。
就像FortiGuard Labs在之前的報告中所介紹的那樣,RDP憑證可以很容易地在暗網上購買到,或者通過暴力破解來獲取。一旦通過身份驗證,Dharma***者就可以映射硬盤遠程共享,或者使用剪貼板來將惡意內容傳遞給受害者。在此之後,***者就擁有了在網絡中隨意移動所需的一切,以將勒索軟件傳播到其他服務器或設備上。
就在上週,FortiGuard Labs發現了一個新的Dharma勒索軟件變種。被它加密的文件會附帶一個新的擴展名——.xxxxx或.like。然而,與以前的版本(例如.java、.bip、.combo、.arrow、.arena和.gamma)相比,這個新變種並不包括對代碼的實質性升級,而只是使用不同的加載程序。
Dharma勒索軟件的第一個變種最早出現在2006年,並且一直定期更新持續至今。卡巴斯基和Eset曾聯合發佈過針對以前的變種免費解密工具。不幸的是,這個工具並不適用於由新的Dharma變種加密的文件。
當這個新的Dharma變種安裝在受害者的計算機上時,它會根據需要從.data資源部分執行和解密數據。最初,使用RC4算法加密整個.data部分,並在數據塊的開頭存儲128字節的密鑰。然後,一步一步地使用密鑰來解密字符串。首先,API名稱和地址被解密並存儲到堆棧中,然後加載。此外,它會解密用於刪除卷影副本、文件擴展名列表、***者電子郵件地址、加密文件擴展名、贖金票據以及其他各種加密字符串的命令。
然後,它會將自身配置爲在用戶登錄Windows時自行啓動。這允許它加密在上次執行後創建的新文件。
再然後,它將使用以下命令調用cmd.exe來刪除卷影副本:vssadmin delete shadows /all /quiet。
它從映射驅動器開始,然後移動到操作系統驅動器的根目錄,並通過AES算法的實現來加密文件。在加密一個文件時,它會附加“.id- [id].[電子郵件地址l] .xxx格式”的擴展名 。例如,一個名爲“test.txt”的文件在被加密之後,其文件名將被重命名爲 “test.txt.id-AC197B68.[[email protected]].combo”。
在文件加密完成之後,它會在受害者的計算機上彈出兩個不同的贖金票據。一個是 Info.hta 文件,當用戶登錄到計算機時自行打開。
另一個贖金票據名爲“FILES ENCRYPTED.txt”,可以在桌面上找到。
FortiGuard Labs表示,Dharma勒索軟件一直位於它們的威脅名單上的首位。在過去6個月裏,超過25%的***來自土耳其。
據知情人士透露,Dharma勒索軟件已經***了100多個希臘網站。鑑於土耳其和希臘之間在愛琴海島嶼所有權上存在爭端,這似乎也表明勒索軟件不僅可用於經濟利益,同樣也可用於激進主義。