股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
多(duō)家企业数据被“挂网”,新(xīn)型勒索“Megazord”肆虐
发布时间 :2023年11月20日
分(fēn)享:
近日,亚信安(ān)全截获Akira勒索软件的全新(xīn)变种,名(míng)為(wèi)Megazord勒索。Akira勒索软件Windows版本于2023年3月首次出现,在随后的3个月内推出了Linux版本。
关于Megazord
為(wèi)了提高加密速度,Akira勒索使用(yòng)了RSA + AES 组合的加密方式。而Megazord勒索软件则是在2023年8月下旬首次亮相,其使用(yòng)了Rust语言编写,以便于在不同平台上进行移植。在加密过程中(zhōng),则混合使用(yòng)curve25519 椭圆曲線(xiàn)非对称加密算法和sosemanuk对称加密算法进行加密。目前,已有(yǒu)多(duō)家國(guó)外企业的数据被“挂网”,成為(wèi)了勒索软件的目标。
攻击方式
Megazord勒索软件通过鱼叉式网络钓鱼電(diàn)子邮件以及针对易受攻击的服務(wù)进行入侵。其还利用(yòng)遠(yuǎn)程桌面协议 (RDP) 以及网络IP扫描工(gōng)具(jù)和NET.EXE(NET USE)等方式进行横向传播。Megazord勒索在加密文(wén)件前会做前置准备,除了终止可(kě)能(néng)会影响加密文(wén)件的进程和服務(wù)外,其还会终止安(ān)全软件的进程以及服務(wù)来避开检测。其在被加密的文(wén)件名(míng)后添加后缀".powerranges",并在每个文(wén)件夹中(zhōng)释放勒索信息"powerranges.txt"文(wén)件。
病毒详情分(fēn)析
该勒索软件使用(yòng)Rust语言编写,从字符串中(zhōng)除了可(kě)以看到大量Rust语言相关的字符串和Cargo项目相关的字符串外,还可(kě)以看到停止虚拟机服務(wù)以及进程的命令。
该勒索软件為(wèi)命令行版本,直接双击运行程序时,程序无法启动。当尝试运行勒索软件时,它会运行失败并显示未提供构建ID,由随机字符串构建ID,输入参数后,该程序才能(néng)正常运行。该勒索软件在加密前会使用(yòng)命令"net stop"终止正在运行的服務(wù),防止服務(wù)占用(yòng)影响文(wén)件的加密。最终被加密的文(wén)件将被添加".powerranges"后缀,创建勒索提示信息powerranges.txt文(wén)件。
亚信安(ān)全产(chǎn)品检测能(néng)力
· 亚信安(ān)全病毒码版本18.749.60,云病毒码版本18.749.71,全球码版本18.749.00已经可(kě)以检测该勒索病毒中(zhōng)对外公(gōng)开的样本,请用(yòng)户及时升级病毒码版本。
· 亚信安(ān)全梦蝶防病毒引擎可(kě)以检测该类型病毒,可(kě)检测的病毒码版本為(wèi)1.6.0.179。
分(fēn)享到微信
X