手段不斷升級!新的惡意軟件Chaos兼具勒索軟件和擦除器功能

這種危險的惡意軟件自6月以來發(fā)展迅速，可能很快就會被釋放到野外。

目前發(fā)現(xiàn)了一種名為Chaos的正在建設中的惡意軟件，它正在地下論壇上做廣告宣傳可供測試。盡管它自稱為勒索軟件，但一項分析表明實際上更像是一個擦除器。

Chaos自6月開始存在并不斷更新

根據(jù)趨勢科技研究員Jesus的說法，Chaos自6月以來一直存在，并且已經循環(huán)了四個不同的版本，最后一個版本于8月5日發(fā)布。這種快速發(fā)展可能意味著它很快就會為黃金時段做好準備，但到目前為止沒有用于實際攻擊。

Chaos 一開始聲稱是Ryuk 勒索軟件的 .NET 版本——它一直在使用一個詭計，在其 GUI上加上Ryuk品牌。然而，Jesus稱，在其第一個版本的引擎蓋下看，幾乎沒有發(fā)現(xiàn)這種所謂的痕跡。相反，該樣本“更像是一種破壞性的木馬，而不是傳統(tǒng)的勒索軟件” 。

他補充說：“它沒有加密文件(然后可以在目標支付贖金后解密)，而是用隨機字節(jié)替換文件的內容，之后文件以Base64編碼。這意味著無法再恢復受影響的文件，使受害者沒有動力支付贖金?！?/p>

這個版本Chaos的其他技巧

“Chaos 1.0版的一個更有趣的功能是它的蠕蟲功能，這允許它傳播到受影響系統(tǒng)上的所有驅動器，”Jesus寫道?！斑@可能允許惡意軟件跳到可移動驅動器上并逃離氣隙系統(tǒng)?！?/p>

安裝后，第一個版本的Chaos會搜索各種文件路徑和擴展名以進行感染，然后釋放一個名為read_it.txt 的勒索軟件說明，要求 0.147 比特幣，按今天的匯率計算約為 6,600美元。

同時，第二個版本增加了管理員權限的高級選項、刪除所有卷影副本和備份目錄的能力，以及禁用Windows 恢復模式的能力。

“然而，2.0 版本仍然覆蓋了它的目標文件，” Jesus說?！鞍l(fā)布該文件的論壇成員指出，如果無法恢復受害者的文件，他們將不會支付贖金?！?/p>

Chaos在3.0版本中變得更像勒索軟件，因為添加了加密功能。據(jù)研究人員稱，該樣本能夠使用AES/RSA加密對1 MB以下的文件，并具有解密器構建器。

然后，在八月初，論壇上出現(xiàn)了Chaos的第四次迭代，擴展了AES/RSA加密功能。現(xiàn)在，可以加密最大2MB的文件。而且根據(jù)分析，運營商可以像其他勒索軟件一樣，使用自己的專有擴展名附加加密文件。它還提供了更改受害者桌面壁紙的功能。

勒索軟件數(shù)量持續(xù)增加

根據(jù)最近的一份報告，到2021年為止，勒索軟件一直在增加。今年前六個月的全球攻擊量與去年同期相比增長151% 。與此同時，聯(lián)邦調查局警告說，現(xiàn)在全世界有100種不同的“菌株”在傳播。報告發(fā)現(xiàn)，在野外部署最多的勒索軟件是Ryuk，這可以解釋Chaos 的作者試圖乘機攻擊的原因。

目前，Chaos“勒索軟件”顯然仍在建設中，因此新版本可能即將出現(xiàn)。例如，它缺乏幾乎所有主要勒索軟件家族現(xiàn)在都具備的數(shù)據(jù)泄露功能，無法進行雙重勒索，但不確定什么時間這一疏忽會得到糾正。從本質上講，Chaos如果落入壞人手中會很危險，如落到可以訪問惡意軟件分發(fā)和部署基礎設施的惡意行為者手中，它可能對組織造成巨大損害。

惡意軟件瘋狂增長的數(shù)量警示我們，看似平靜的網絡空間下隱藏著巨大的危險。尤其隨著數(shù)字時代的來臨，數(shù)據(jù)已成為社會運轉和人們便捷生活重要的基礎保障。網絡安全的核心問題是保護數(shù)據(jù)。提高軟件自身安全性，是現(xiàn)有網絡防護手段的重要補充，同時也是減少數(shù)據(jù)丟失的基礎防線。

加強軟件安全不但需要強化外部安全防御措施，同時也要關注軟件自身安全。在軟件開發(fā)時不斷檢測修復代碼缺陷，是減少數(shù)據(jù)丟失的重要手段!如靜態(tài)代碼檢測可以有效查找代碼語義、語法缺陷和運行時漏洞，有助于開發(fā)人員第一時間查找定位問題代碼確保軟件的安全性，在研發(fā)階段開始找到并修復多種問題，節(jié)省大量時間人力成本。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?1&id=7643993c3d124edb9472f71713417764

https://threatpost.com/chaos-malware-ransomware-wiper/168520/