主页 > 智能 > 内容页
来源:未知2019-12-10 12:41:26热度:

Snatch勒索软件以Windows安全模式重新启动PC,以绕过防病毒应用程序

Snatch勒索软件的作者正在使用一种前所未有的技巧来绕过防病毒软件并加密受害者的文件而不会被发现。

诀窍在于将受感染的计算机重新启动到安全模式,然后从那里运行勒索软件的文件加密过程。

执行此步骤的原因是,大多数防病毒软件都无法在Windows安全模式下启动,Windows安全模式是一种Windows状态,用于调试和恢复损坏的操作系统。

但是,抢夺工作人员发现他们可以使用Windows注册表项来安排Windows服务以安全模式启动。该服务将在安全模式下运行其勒索软件,而不会被防病毒软件检测到,并且不会停止其加密过程。

Sophos Labs的事件响应小组发现了“安全模式”技巧,该小组在过去几周被要求调查勒索软件感染。它的研究团队表示,这很重要,而且其他勒索软件人员也可以迅速采用这种技巧。

“ SophosLabs认为,以安全模式运行的勒索软件所带来的风险的严重性不能高估,我们需要发布此信息,以警告其他安全行业以及最终用户,” Andrew Brandt Sophos的恶意软件研究者和网络取证者在今天发布的一份报告中说。

抢夺,另一个大型游戏猎人

Sophos的研究人员说,这是Snatch乘员组的最新技巧,但不是第一次。这个特定的勒索软件帮派自2018年夏季以来一直在运行,但到目前为止,很少有人听说过这种病毒。

 

发生这种情况的原因是,Snatch的工作人员从未针对家庭用户,也从未使用过大规模分发方法,例如电子邮件垃圾邮件活动或基于浏览器的漏洞利用工具包-这两个分发渠道通常会引起网络安全公司的广泛关注。

取而代之的是,抢夺人员只在经过精心挑选的一小部分目标(例如公司,公共或政府组织)之后才去。

这种类型的目标和方法在网络安全领域被称为“大型猎物”,并且是当今多个勒索软件工作人员广泛采用的一种策略。

大型狩猎活动的思想是,恶意软件作者可以从大型用户和政府组织那里索取数十万倍的勒索赎金,而无需追随恶意软件作者可以从家庭用户那里收取的小额赎金。 。

Ryuk,SamSam,Matrix,BitPaymer和LockerGoga等勒索软件是您典型的大型游戏猎人。

抢夺团队在黑客论坛上看到招募黑客

上面列出的所有勒索软件帮派都有自己的方法来破坏各自目标的网络,Snatch也是如此。

根据Sophos的说法,该集团通过购买途径进入了公司的网络。研究人员说,他们追踪了Snatch团队在黑客论坛上发布的广告,这些广告旨在招募其计划的合作伙伴。

根据广告的翻译,Snatch团队“正在寻找可在公司网络,商店和其他公司中访问RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [SQL注入]的关联伙伴。”

 

图片:Sophos

Sophos团队表示,Snatch团队将购买对被黑客入侵的网络的访问权,或者与另一位黑客合作以破坏所需的公司。

进入后,他们很少马上就安装勒索软件并立即加密文件。相反,Snatch团队在一家被黑的公司中徘徊了几天甚至几周。

黑客会花时间,并逐渐将对内部域控制器的访问权限升级,并从这些访问权限传播到内部网络中尽可能多的计算机。

为此,Snatch团队使用合法的sysadmin工具和渗透测试工具包来完成工作,这些工具包括Cobalt Strike,Advanced Port Scanner,Process Hacker,IObit卸载程序,PowerTool和PsExec。由于这些是常用工具,因此大多数防病毒产品都无法发出任何警报。

一旦Snatch帮派获得了所需的所有访问权限,他们就会添加注册表项和Windows服务,以在所有受感染的主机上以安全模式启动Snatch,并强制重新启动所有工作站-重新启动以开始文件加密过程。

窃取客户数据

此外,Sophos说,与大多数勒索软件团伙主要致力于加密文件和索要勒索软件不同,他们还发现Snatch团队也参与了数据盗窃活动。

这使Snatch团队变得独特且极具危险性,因为公司也将因日后在网上出售或泄露数据而丢失,即使他们支付了赎金费用并解密了文件也是如此。

这种类型的行为非常不寻常,很可能会将Snatch推到当今最危险的勒索软件毒株列表的首位。

但是,合并公司的内部网络以窃取文件需要时间,这也是Snatch造成的受害者数量不及其他“大猎杀”病毒/帮派数量相同的原因。抢夺受害者的人数很少。

Coverware是一家专门从事勒索软件受害者和攻击者之间勒索谈判的公司,对Sophos表示,他们已在2019年7月至2019年10月之间私下处理了Snatch勒索软件感染的赎金付款。付款范围从2,000美元到35,000美元不等。

直到今天,唯一已知的Snatch勒索软件感染公共案例是SmarterASP.NET,这是一个网络托管公司,拥有约440,000个客户。

Sophos建议公司使用强密码或多因素身份验证来保护在Internet上公开的端口和服务。

由于Snatch团队也有兴趣尝试VNC,TeamViewer或SQL注入,因此必须保护这些攻击点的公司网络。

智能中国
  • Optus声称已使用2300MHz频谱进行了全球首个5G数据通话。 该试验使用爱立信的套件在悉尼完成,该公司声称这是澳大利亚唯一一家拥有2300MHz和...
    2019-12-10
  • Snatch勒索软件的作者正在使用一种前所未有的技巧来绕过防病毒软件并加密受害者的文件而不会被发现。 诀窍在于将受感染的计算机重新启...
    2019-12-10
  • 为使全镇公益事业健康发展,充分发挥公益组织在脱贫攻坚工作中的积极作用,11月30日,方城县爱尚公益赵河镇志愿者服务站挂牌正式成立。镇...
    2019-12-06
  • 扶贫先扶志,激发贫困群众的内生动力,甩掉等、靠、要思想,变输血为造血,党委政府倡导的志智双扶工作在杜岗村如火如荼的进行着,脱贫组、...
    2019-12-06
  • 11月8号,是杜岗村党员集中活动日,也是集中帮扶日,上午刚8点,在家的党员和各位帮扶人准时赶到村部,结合不忘初心牢记使命主题教育,脱贫组...
    2019-12-06
  • 广阳镇栗贾庄村是南阳地区唯一的开国将军栗在山老一辈革命家的故里,将军在建国后隐姓埋名曾任新疆罗布泊核基地首任政委,还是两弹一星...
    2019-12-06
  • 亚马逊和Verizon将通过前者的新Wavelength边缘服务提供以超低延迟运行基于AWS的应用程序的能力,这两家公司本周在AWS re:Invent上宣布,使组织...
    2019-12-05
  • 微软本周用四位数的标签2004标记了下一个Windows 10刷新,该名称的意思是避免与长期退出的服务器操作系统混淆,如果不考虑升级的发布时间...
    2019-12-05
  • Wyze售价20美元的安全摄像头已经是市场上最便宜的智能家居产品之一,现在该公司希望通过其廉价的智能锁来改变一个新的类别。 改型的...
    2019-12-05
  • 新德里,澳大利亚总理斯科特莫里森(Scott Morrison)将于明年初访问印度,堪培拉渴望减少对高科技领域对中国的依赖,澳大利亚高级官员表...
    2019-12-05