網絡犯罪的世界無奇不有,卡巴斯基的研究人員在分析HermeticRansom(又稱Elections GoRansom)加密工具的時候,發現它只是一款相當簡單的加密工具之餘,也是作為煙幕去支援HermeticWiper進行攻擊。
HermeticRansom的目的
在HermeticRansom攻擊電腦的同一時間,根據從保安社群已公開的資料,另一款惡意程式HermeticWiper也同時間發動攻擊,而它近期對烏克蘭進行了網絡攻擊。根據卡門斯基的專家發現,相對簡單和具疑問的惡意程式部署流程,認為HermeticRansom只是作為HermeticWiper攻擊的煙幕。
HermeticRansom的能力
一旦成功感染受害者的電腦,惡意程式會首先尋找硬盤和收集一系列資料夾和檔案的位置,除了Windows和Program Files資料夾以外,然後便對特定的檔案類型進加密和更改檔案名稱,把.encrypted變成副檔名並留下攻擊者的電郵地址,惡意程式也會在桌面資料夾創建read_me.html,內裡包含了攻擊者的聯絡。
HermeticRansom加密的副檔名包括:.inf、.acl、.avi、.bat、.bmp、.cab、.cfg、.chm、.cmd、.com、.crt、.css、.dat、.dip、.dll、.doc、.dot、.exe、.gif、.htm、.ico、.iso、.jpg、.mp3、.msi和odt。
HermeticRansom的特徵
HermeticRansom以Golang編寫,它沒有任何混淆機制,加密的方法也比較繁瑣和欠缺效率,藉此和其他跡象專家們認為惡意程式製作時十分趕急。詳細資料可以瀏覽Securelist的文章。
防範方法
卡巴斯基的保安產品已經成功偵測HermeticRansom惡意程式和相似的威脅,無論是家用的Kaspersky Internet Security或商用的Kaspersky Endpoint Security都能夠發揮防護的作用。
資料來源:Kaspersky Blog
